estandares de documentacion de auditoria

29
ESTANDARES DE DOCUMENTACION DE AUDITORIA Metodología para realizar auditorías de sistemas computacionales Se pueden desarrollar una serie de actividades y técnicas que nos pueden ayudar a realizar la auditoria de información: Inventario físico . Es el proceso de identificación y categorización de los recursos de información de una forma sistemática. De esta forma, se proporciona una fotografía de lo que la organización posee en términos de recursos de información en un momento determinado. Masificación de la información (Infomap). Constituye una forma gráfica de representar los recursos de información que hay en la organización y las interrelaciones entre éstos. El mapa de recursos indica hasta qué punto los recursos de información son básicos, de qué modo se encuentran posicionados (geográficamente, departamentalmente, desde un punto de vista técnico), cómo interactúan, quién los utiliza, quién es el responsable, etc. Análisis de las necesidades de información. Tiene como finalidad principal determinar qué información requieren los empleados y la dirección de la organización para desarrollar sus papeles y alcanzar los objetivos. Gráficos de procesos y flujos de trabajo. Los gráficos de procesos junto con los flujos de trabajo pueden constituir una buena herramienta de trabajo en el ámbito de las auditorias de la información. Procesos de control y verificación. En una auditoria de la información, se deben establecer también los procesos de control y verificación. El resultado de estos procesos puede consistir en un informe o, incluso, un certificado que confirme que todo es correcto o que

Upload: edeli-ortega

Post on 24-Nov-2015

68 views

Category:

Documents


0 download

TRANSCRIPT

ESTANDARES DE DOCUMENTACION DE AUDITORIA

Metodologa para realizar auditoras de sistemas computacionalesSe pueden desarrollar una serie de actividades y tcnicas que nos pueden ayudar a realizar la auditoria de informacin:

Inventario fsico. Es el proceso de identificacin y categorizacin de los recursos de informacin de una forma sistemtica. De esta forma, se proporciona una fotografa de lo que la organizacin posee en trminos de recursos de informacin en un momento determinado.Masificacin de la informacin (Infomap). Constituye una forma grfica de representar los recursos de informacin que hay en la organizacin y las interrelaciones entre stos. El mapa de recursos indica hasta qu punto los recursos de informacin son bsicos, de qu modo se encuentran posicionados (geogrficamente, departamentalmente, desde un punto de vista tcnico), cmo interactan, quin los utiliza, quin es el responsable, etc.

Anlisis de las necesidades de informacin.

Tiene como finalidad principal determinar qu informacin requieren los empleados y la direccin de la organizacin para desarrollar sus papeles y alcanzar los objetivos.Grficos de procesos y flujos de trabajo. Los grficos de procesos junto con los flujos de trabajo pueden constituir una buena herramienta de trabajo en el mbito de las auditorias de la informacin.

Procesos de control y verificacin.

En una auditoria de la informacin, se deben establecer tambin los procesos de control y verificacin. El resultado de estos procesos puede consistir en un informe o, incluso, un certificado que confirme que todo es correcto o que incluya recomendaciones de mejora. Hay que tener presente que el mapa de recursos de informacin, o mapa documental, puede constituir uno de los principales resultados del proceso de la auditoria de informacin. En el caso del mapa documental, ste detalla qu documentos se encuentran dentro de la organizacin, a qu tipo de funciones se encuentran vinculados y dan respuesta, quin tiene la responsabilidad y el acceso a esos documentos, en qu soporte estn disponibles, dnde y cmo se encuentran accesibles y qu relacin o nivel de integracin tienen con el resto de los sistemas de informacin de la organizacin. Tambin se establece la localizacin de todos los documentos dentro de los estndares y los procedimientos de la organizacin, as como su valor para el conocimiento corporativo

Papeles de trabajo para la auditora de sistemas computaciones

A lo largo de todo el trabajo de auditora, el auditor debe guardar las pruebas evidentes de lo realizado, no solo como recordatorio fundado de su actuacin con las necesarias matizaciones para emitir el informe, sino como medio de demostrar, en cualquier momento, la amplitud y la evidencia de los hechos, y poder expresar los procedimientos de auditora utilizados, as como la interpretacin dada en cada caso a los hechos, con las conclusiones obtenidas.Estas pruebas, deben ser conservadas en lugar protegido, donde no puedan ser inspeccionadas por terceros ajenos al auditor o equipo de auditores. No debern destruirse antes de que haya transcurrido el tiempo que establecen las obligaciones derivadas de las leyes y de las necesidades de la prctica profesional. Su destruccin o prdida, as como la difusin no autorizada, acarreara responsabilidad para el auditor.Estructura de contenidos. Cuando hablamos de papeles de trabajo, nos estamos refiriendo al conjunto de documentos preparados por un auditor, que le permite disponer de una informacin y de pruebas efectuadas durante su actuacin profesional en la empresa, as como las decisiones tomadas para formar su opinin.Su misin es ayudar en la planificacin y la ejecucin de la auditora, ayudar en la supervisin y revisin de la misma y suministrar evidencia del trabajo llevado a cabo para respaldar la opinin del auditor.Han de ser detallados y completos los papales de trabajo y deben estar diseados para presentar la informacin requerida de forma clara y plena de significado. Estos deben elaborarse en el momento en que se realiza el trabajo y son propiedad del auditor, quien debe adoptar las medidas oportunas para garantizar su custodia sin peligro y su confidencialidad.En cuanto a los objetivos de los papeles de trabajo podemos indicar los siguientes: - Servir como evidencia del trabajo realizado y de soporte de las conclusiones del mismo.- Presentar informes a las partes interesadas.- Facilitar los medios para organizar, controlar, administrar y supervisar el trabajo ejecutado en las oficinas del cliente.- Facilitar la continuidad del trabajo en el caso de que un rea deba ser terminada por persona distinta de la que la inici.- Facilitar la labor de revisiones posteriores y servir para la informacin y evaluacin personal.

Tipos de papeles de trabajo.

En funcin de la fuente de la que procedan los papeles de trabajo, stos se podrn clasificar en tres grupos:a) Preparados por la entidad auditada. Se trata de toda aquella documentacin que la empresa pone al servicio del auditor para que pueda llevar a cabo su trabajo: estados financieros, memoria, escritura, contratos, acuerdos.b) Confirmaciones de terceros. Una parte del trabajo de auditora consiste en la verificacin de los saldos que aparecen en el balance de situacin a auditar.c) Preparados por el auditor. Este ltimo grupo estar formado por toda la documentacin elaborada por el propio auditor a lo largo del trabajo a desarrollar: cuestionarios y programas, descripciones, detalles de los diferentes captulos de los estados financieros, cuentas, transacciones, Sistemas de archivo. Un complemento necesario a los papeles de trabajo lo constituye el archivo de trabajo. En l deben figurar recopilados todos los documentos utilizados en la actuacin profesional, as como cuantas informaciones se consideren de inters, tanto para el presente como para el futuro.

Se pueden distinguir dos tipos de archivos: expediente de ejercicio y permanente.El contenido de este archivo se refiere a documentos y papeles de trabajo cuya vigencia se limita al perodo de realizacin de la auditora.a) Archivo general Agrupa toda informacin referente a la organizacin de la auditora, al mismo tiempo recoger la documentacin en la que se han ido reflejando los principales problemas que se han planteado en la ejecucin de la auditora y las conclusiones a las que a ha ido llegando el auditor. De esta forma, podramos destacar como apartados importantes de la seccin general del expediente del ejercicio:- Estados financieros a auditar- Proceso de planificacin y programas de auditora- Informe sobre el sistema de control interno contable- Indicacin de quin realiz los procedimientos de auditora y cundo fueron realizados- Constancia de que el trabajo realizado por colaboradores ha sido supervisado y revisado- Puntos de informe-Correspondencia con el cliente y resumen de las conversaciones mantenidas- Hechos posteriores- Terminacin de la auditora

b) Archivo por reas de trabajo

Informes de auditoriaObjetivos

Destacar la importancia que tiene el saber presentar profesionalmente los informes de auditora computacionales. El auditor tiene que ser muy cuidadoso al plasmar en libro, documento o escrito porque es como dar un sello personal. Procedimientos para elaborar el informe. En el informe de auditora, tambin llamado dictamen, se reportan las situaciones encontradas durante la evaluacin, pero se deben incluir las causas que originan esas situaciones y las posibles sugerencias para solucionar los problemas encontrados. Los procedimientos para elaborar dicho informe se compone de los siguientes pasos.

1. Aplicar instrumentos de recopilacin2. Registrar el formato de situaciones encontrada.3. Comentar las situaciones encontrada con los auditados.4. Analizar, depurar y corregir las desviaciones encontradas.5. Presentar informe y dictamen final a los directivos de la empresa.6. Comentar las situaciones encontrada con los auditados.

Una vez identificada las siguientes situaciones encontrada, es responsabilidad del encargado de la auditoria comentar cada una de esas desviaciones con el personal responsable de la operacin o sistema de informacin o funcin auditada. Adems, comentarlo con los auditados esto permite preparar las posibles soluciones para esas desviaciones.Encontrar causas de las desviaciones con los auditados. Tambin se recomienda encontrar de manera ms fidedigna y confiable las causas que generan cada una de las desviaciones, a fin de reportarla en el informe lo ms apegado posible a la realidad. Es necesario tener pendiente que al conocer las desviaciones que se le imputan, el auditado tratara de defenderse, sealando las causas que generaron cada una de las desviaciones encontradas, as directamente al escuchar la voz del auditado el auditor puede comprobar o ratificar las causas que haba planteado. No obstante, como es natural, en las reuniones muchos de los auditados trataran de evadir o justificar su responsabilidad en las desviaciones e incluso, en algunos casos extremos, pueden hasta negar la existencia o conocimiento de la situacin que se le imputa.

Elaboracin del informe final y el dictamen del auditor: En ese informe el auditor solo debe incluir lo ms relevante de la evaluacin, incluyendo su opinin. En este informe es que denota la importancia de su actividad al sealar en qu situacin estaba la empresa o departamento antes de la evaluacin por los auditores. El informe es algo prctico y corto, cabe aclarar que la razn de plasmar este informe en tan poco espacio es que los directivos de una empresa, por lo general, tienen poco conocimiento del el lenguaje que se maneja en los sistema computacionales.

Caractersticas fundamentales: Se pueden identificar dos caractersticas fundamentales en los informes de auditora en los sistemas computacionales los cuales siempre se refieren al contenido del informe y la forma de presentarlo. Dichas caractersticas son la siguiente:

Caractersticas de fondo: Se refiere al cuidado que debe tener el auditor de sistema al revisar que el contenido total del dictamen de auditora sea acorde con lo que realmente tiene que sealar acerca de la revisin afectada, refirindose exclusivamente al contenido del informe. Para esto tiene que tener en cuenta diversos aspectos los como que el documento sea veraz, confiable, oportuno, objetivo, claro, completo y que el lector de dicho dictamen o resumen sea pueda entender con facilidad dicho informe.

Caractersticas de forma: Estas caractersticas se refieren a la manera en que el auditor debe presentar el informe en cuanto al estilo de redaccin, el contenido en partes, apartados, apndices, tipo y tamao de las hojas y el tipo de letra; tambin en lo relativo en la forma de utilizar la redaccin, ortografa, sintaxis, gramtica y dems componentes del lenguaje y todo lo relacionado con la presentacin del documento.

Caractersticas de la presentacin del informe. Otras de las caractersticas ms importantes de un informe de auditora de sistemas computacionales son los atributos que deben tener la redaccin y la presentacin del informe; para lograr mejores resultados en la elaboracin del citado informe, el auditor debe tomar en cuenta las caractersticas que proponemos a continuacin: Claridad, efectividad, Confiabilidad, positividad, Propiedad, sintaxis, Concisin, Sencillez, Asertividad, Exactitud, Familiaridad y Veracidad.

Tcnicas de evaluacin aplicables en una auditoria de sistemas computacionalesEn la auditoria de sistemas computacionales se utilizan una serie de herramientas tradicionales de auditora, as como tcnicas de valoracin que permite hacer una evaluacin ms eficiente de los sistemas computacionales. Como profesional especializado en la rama, el auditor de sistemas computacionales utilizas estas tcnicas pues le ayudan a examinar y evaluar correctamente los diferentes aspectos del ambiente de sistemas en el que realiza su trabajo. Estas tcnicas, mtodos, procedimientos o herramientas son:

Examen: Consiste en analizar y poner a prueba la calidad y el cumplimiento de las funciones, actividades y operaciones que se realizan cotidianamente en una empresa, es utilizado para evaluar los registros, planes, presupuestos, programas, controles y todo lo dems aspectos que afectan la administracin y control de una empresa o de las reas que la integran. En la auditoria de sistemas computacionales podemos entender el examen como: El anlisis, prueba o demostracin al que se somete algn fenmeno o hecho relacionado con la gestin administrativa de un centro de cmputo, de sus componentes o de la operacin del sistema procesados de informacin, con el propsito de evaluar el cumplimiento de sus funciones, actividades y operaciones, as como el cumplimiento del procesamiento de datos y la emisin de informacin que se requiere en la empresa o en las reas que la integren.

Inspeccin: La inspeccin en sistemas computacionales es Sinnimo de supervisin, ya que trata de examinar la forma en que se desarrollan las actividades de un rea de sistemas computacionales, a fin de evaluar y emitir un informe sobre el desarrollo normal de sus funciones y operaciones; tambin tiene como propsito monitorear el desarrollo cotidiano de las funciones, actividades y operaciones normales de las empresa, para evaluar y si es necesario, corregir su desarrollo beneficio. Esta herramienta es aplicada de acuerdo con las caractersticas especficas de cada centro de cmputo o de cada sistema computacional, un ejemplo de los posibles aspectos del ambiente de sistemas computacionales donde puede ser aplicada es: La inspeccin de los sistemas de seguridad y proteccin de las instalaciones, equipo, personal y de los propios sistemas de procesamiento, con el propsito de dictaminar sobre su eficiencia y confiabilidad.

Confirmacin: Es uno de los aspectos fundamentales para la credibilidad de una auditoria es la confirmacin de los hechos y la certificacin de los datos obtenidos durante la revisin; ya que el resultado final de una auditoria es la emisin de un dictamen en el que el auditor vierte sus opiniones, la caracterstica fundamental de una auditoria, cualquiera que sea su tipo, es la autenticidad con la que el auditor emite sus opiniones, sean a favor o en contra. En los sistemas computacionales su fin es confirmar la oportunidad, veracidad de los gastos de nomina del personal de la empresa , comparando los resultados de una quincena con los clculos manuales de esa misma quincena, validar las desviaciones encontradas en los procesamientos, revisar las licencias de software instalados en los sistemas computacionales y confirmar la confiabilidad de las protecciones , contraseas y dems medidas de seguridad establecidas para el acceso a la informacin y a los sistemas de la empresa.

Comparacin: Esta debe ser aplicada de acuerdo a las necesidades y caractersticas especficas del rea de sistemas o del propio sistemas que va a ser auditado. Con la comparacin de informacin se pueden encontrar las similitudes y diferencias entre ambas reas o empresa, con lo cual se pueden hacer conjeturas y deducciones sobre las desviaciones encontradas. En la auditoria de sistemas computacionales, la comparacin de los datos en el sistemas computacionales que va a ser elevado con los datos de algn sistemas similar o igual para avalar y comprobar que los procesamientos sean similares o iguales y que los resultados sean confiables, verdicos, oportunos y que satisfagan las necesidades de procesamiento del rea de cmputo de la empresa.

Revisin documental: Es la forma ms importante de evaluar a las empresas; adems no solo sirve para aplicaciones en una auditoria tradicional, sino tambin como un importante apoyo en los diferentes tipo de auditora de sistemas computacionales; claro esta adoptndola a las caractersticas especificas de evaluacin de los sistemas computacionales. La revisin documental avala los registros de operaciones y actividades de una empresa, principalmente en aquellos casos donde la evaluacin est enfocada a los aspectos financieros, registros de los activos y a cualquier otro aspecto contable y administrativo de la empresa. Esta tcnica se aplica verificando el registro correcto de datos en documentos formales de la empresa, con mucha frecuencia la emisin de sus resultados financieros. En los sistemas computacionales es utilizada para evaluar el desarrollo de las operaciones y funcionamiento del sistema, revisar el uso y registro adecuado de los documentos del software, verificar la existencia y actualizacin de registros formales para la administracin y control de operacin del sistema.

Acta testimonial: Es un documento de carcter formal, que por su representatividad, importancia y posibles alcances de carcter legal y jurdico es uno de los documentos vitales. La importancia de este radica en que con su uso se pueden evidenciar pruebas fehacientes, circunstanciales, probatorias para comprobar desviaciones en el rea auditada y es utilizada para testimoniar los robos, desapariciones o cualquier aspecto relacionado con la desaparicin de algn bien de la empresa, para fincar responsabilidades por deficiencia en las actividades de la empresa; aunque puede ser levantada en cualquier otra incidencia de las actividades cotidiana de una empresa.

Matriz de evaluacin: Es uno de los documentos de recopilacin ms verstiles y de mayor utilidad para el auditor de sistemas computacionales, debido a que a travs de esta es posible recopilar una gran cantidad de informacin relacionada con las actividades realizadas en esta rea de informtica, esta herramienta consiste en una matriz de seis columnas de las cuales la primera corresponde a la descripcin, y las otras cinco a un criterio de evaluacin descendente o ascendente (Exc., Bueno, Suf., Reg., Deficiente).

Matriz dofa: es un acrnimo de Debilidades, Oportunidades, Fortalezas y amenazas de la empresa, las cuales son analizadas cada una por separado en cuanto a su presencia interna y a la influencia que la empresa recibe del exterior. El fundamento para la aplicacin de la matriz DOFA en una auditoria de sistemas computacionales, es que mediante la misma se pueden estudiar las influencias que afectan el comportamiento del rea de sistemas computacionales de una empresa, tanto las quien recibe de su ambiente interior como exterior, ya sean de la propia empresa o de sus proveedores, desarrolladores o del entrono donde este establecida.

Tcnicas especiales de auditora de sistemas computacionalesDiagramas del crculo de evaluacin. Herramienta de apoyo para la evaluacin de los sistemas computacionales. Para valorar visualmente: El comportamiento de los sistemas que estn siendo auditados. Su cumplimiento Sus limitaciones. Durante las diferentes etapas: Estudio Preliminar, Anlisis del Sistema, Diseo Conceptual, Diseo Detallado, Programacin, Pruebas, Implantacin. Diagramas del crculo de evaluacin. Que Podemos Evaluar Con Esta Herramienta? Seguridad en el rea de sistemas computacionales. Evaluacin administrativa del rea de sistemas.

Evaluacin de los sistemas computacionales Seguridad en el rea de sistemas computacionales: Acceso fsico al rea de sistemas. Acceso, uso, mantenimiento y resguardo de las bases de datos. Del personal informtico. De las instalaciones del rea de sistemas. Plan de contingencias. Seguridad lgica del sistema.

Evaluacin administrativa del rea de sistemas De la misin, visin, objetivos, estrategias, planes, programas, estructura de la organizacin, perfil de puestos.

Evaluacin de la documentacin de sistemas, de la seguridad y la proteccin de los archivos informticos, instalaciones.

Evaluacin de la capacitacin, adiestramiento y promocin del personal.

Evaluacin del desarrollo de proyectos informticos, estandarizacin de metodologas, programas, equipos, sistemas, mobiliario. Lista de verificacin (o lista de chequeo).Instrumento que contiene criterios o indicadores a partir de los cuales se miden y evalan las caractersticas del objeto, comprobando si cumple con los atributos establecidos. La lista de verificacin se utiliza bsicamente en la prctica de la investigacin que forma parte del proceso de evaluacin.

Anlisis de la diagramacin de sistemas. Anlisis de la diagramacin de sistemas. Unas de las principales herramientas para el anlisis y diseo de los sistemas computacionales. El analista puede representar: Los flujos de informacin., actividades, operaciones, procesos y otros aspectos que intervienen en el desarrollo de los propios sistemas El programador puede visualizar el panorama especfico del sistema, para elaborar de manera ms precisa la codificacin de instrucciones para el programa. Anlisis de la diagramacin de sistemas. El auditor puede utilizar esta herramienta para el diseo de sistemas de diferentes formas en una auditoria de sistemas, de acuerdo con su experiencia, conocimientos y habilidades, mismas que debe canalizar en los siguientes sentidos: Solicitar los diagramas del sistema. Analizar el diagrama del sistema. Elaborar un diagrama del sistema. Verificar la documentacin de los sistemas a travs de sus diagramas.

Propuesta de puntos que se deben evaluar en una auditora de sistemas computacionalesEn el desarrollo de sistemas se debe emplear la misma metodologa que utilizan losdiseadores de sistemas o el equipo de trabajo asignado. Mientras que el objetivoprimario del auditor es evaluar la suficiencia de los controles internos, el objetivodel diseador de sistemas es satisfacer las necesidades de los usuarios; ambos deberancompartir el deseo de ver que se logran los objetivos de cada uno.

Participacin del auditor

An cuando el auditor est interesado en todos los aspectos del nuevo sistema, debe velar porque se establezcan todos los controles de aplicacin. Su principal funcin es asegurar que los sistemas, recientemente implantados incluyan caractersticas de control slidas y confiables. En trminos generales es ayudar a prevenir que se implanten sistemas de aplicacin que tengan riesgos importantes.El auditor participa en el proceso de desarrollo de sistemas revisando la documentacin generada como producto final de ciertas actividades de desarrollo de sistemas.En estas actividades su inters se concentrar primordialmente en el desarrolloe implantacin de controles de aplicacin adecuados. El auditor necesita reconocer que su participacin durante el desarrollo de los sistemas puede amenazar su independencia y deber tomar medidas para evitar esta prdida. Estas medidas incluyen:* Permanecer organizacionalmente independiente del grupo de sistema. Esto significaque el auditor no es un miembro en propiedad del grupo de desarrollo de sistemay no le quita la direccin del proyecto al gerente del grupo del proyecto.* Redactar los informes independientemente del grupo del proyecto. Las opinionesdel auditor, sus recomendaciones y sus evaluaciones no deberan incluirse en losinformes de status del proyecto puesto que el emisor de los informes (usualmenteel gerente del grupo del proyecto) tiene autoridad editorial para modificar lasdeclaraciones del auditor.* Investigar independientemente del grupo del proyecto. El grupo del proyecto puedeestar restringido a ciertos contactos y cierta autoridad, pero el auditor tienelibre acceso a la informacin y al personal de la organizacin.

Programa de trabajo

1. Establecer el planeamiento preliminar del trabajo de auditora: En este primerpaso se obtiene un conocimiento inicial de las actividades del sistema y evaluarlasen relacin con los objetivos de auditora, a fin de determinar el alcance preliminar.2. Participacin del Auditor en el Desarrollo de Sistemas: Determinar el grado de participacin del auditor en cada fase del ciclo de vida del sistema, una vezque ha sido identificado. Los auditores de sistema necesitan participar en el procesode desarrollo de los sistemas para garantizar que los nuevos sistemas de informacindiseen las medidas adecuadas de auditora y de control. Los dos tipos de autorizacin donde se involucra el auditor son: El auditor debe tener un grado de participacin mediante un acuerdo y revisin de las fases.3. Acuerdo: Es el acuerdo formal con el contenido del producto tangible. En caso dedesacuerdo, la persona responsable de evaluar el producto tangible prepara un memorando indicando su posicin y los items que requieren solucin y lo enva o remite al siguiente nivel superior gerencial. 4. Revisin: Los productos tangibles son presentados para informacin solamente; pueden hacerse comentarios pero ellos no son decisivos.5. Revisin de Productos Finales: Acordar y revisar las actividades y el productofinal de cada fase del ciclo de vida del desarrollo del sistema. El auditor deberevisar que las firmas de aprobacin para todos los productos tangibles estn plasmadas en el control de aceptacin de etapas. As mismo el auditor debe preparar los papeles de trabajo con el propsito de evidenciar y documentar los resultados de la investigacin del proyecto y que sirvan como material de referencia para esfuerzos futuros.6. Identificar las fuentes de informacin para las revisiones y/o pruebas de auditora:Este paso incluye la identificacin de las fuentes de informacin que se requierenen los procesos de prueba y revisin. Las fuentes de informacin proveen los mediospara la revisin y documentacin de las actividades de auditora y verificacinde controles.

FACTORES QUE SE TOMAN EN CUENTA PARA REALIZAR UNA AUDITORIA A UN CENTRO DE CMPUTO.FACTORES QUE SE DEBEN TOMAR EN CUENTA AL MOMENTO DE REALIZAR UNA AUDITORIA DENTRO DE UN CENTRO DE CMPUTO. Antes de plantear los objetivos, se deben tomar en cuenta ciertos factores determinante, los cuales deben ser perseguidos por todo auditor al momento de realizar su labor. Estos factores son: Caractersticas de la organizacin objeto de estudio Caractersticas del departamento de informtica a auditar Limitaciones tcnicas del auditor Determinar el nivel de riesgo aparente del sistema o instalacin a auditar Identificar las reas crticas de control en las que se detecten unos mayores ndices de riesgo. Identificar la seguridad del local a auditar Identificar la seguridad de los equipos instalados dentro de las instalaciones del Centro de Cmputo. Definir objetivos y alcance del trabajo a auditarCLASIFICACIN DE LAS REAS A AUDITAR DENTRO DE UN CENTRO DE CMPUTO.

Para un mejor logro de nuestros objetivos, al momento de realizar la auditoria, se debe tener claro cules son las reas que se van a evaluar y clasificarlas con la finalidad de lograr un mayor rendimiento en cuanto a calidad y tiempo.A continuacin detallamos la clasificacin de las diferentes reas a evaluar dentro de un Centro de Cmputo.

Auditoria directa al Centro de Cmputo, como espacio fsico. Controles dentro de la Organizacin y Auditoria al Personal Auditora al desarrollo de hardware, software y todos sus componentes. Auditora a las Aplicaciones en Funcionamiento. Auditora al Ambiente de Redes. Recomendaciones y certificaciones. 1. Auditora a la Seguridad en el Centro de Cmputo

Al realizar nuestra evaluacin y auditoria al Centro de Cmputo como aspecto fsico, lgico y de seguridad, necesitamos evaluar el espacio, los controles dentro y fuera del centro de cmputo, anlisis del local, y sobre todo, la seguridad del local y los implementos con que cuenta.Riesgos Fsicos: Son todos los peligros que corre el local para el cual se est realizando la auditoria. Es la contingencia o probabilidad de que ocurra un dao. Peligro: es el riesgo o contingencia inminente de que ocurra un mal. En el caso que nos interesa (El centro de cmputo), el dao o el mal est vinculado con el perjuicio que pueda ocurrirle a cualquiera o cada uno de los implementos o artefactos que se encuentra dentro de nuestro local.Seguridad del Centro de Cmputo: Debemos recordar que nuestro local guarda dentro de sus instalaciones equipos de suma importancia y altos costos, por consiguiente, al realizar nuestra auditoria, debemos cerciorarnos de la seguridad que tiene el Centro de Cmputo y de ser deficiente, debemos realizar nuestras recomendaciones para que el mismo cuente con unas condiciones de ptima seguridad como podran ser: Las instalaciones deben contar con sistema de alarma por presencia de fuego, humo, as como extintores de incendio, conexiones elctricas seguras, entre otras. Contratar plizas de seguros para proteger la informacin, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operacin. El acceso al centro de cmputo debe contar con las seguridades necesarias para reservar el ingreso al personal autorizado Implantar claves o password para garantizar operacin de computo solo a personal autorizado. Formular polticas respecto a seguridad, privacidad y proteccin de las facilidades de procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de violacin y cmo responder ante esos eventos. Mantener un registro permanente (bitcora) de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones de procesos. Los operadores del equipo central deben estar entrenados para recuperar o restaurar informacin en caso de destruccin de archivos. Los back ups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares seguros y adecuados, preferentemente en bvedas de bancos, tomando en cuenta el tamao e importancia de la informacin que se guarda. Se deben implantar calendarios de operacin a fin de establecer prioridades de proceso. Todas las actividades del Centro de Computo deben normarse mediante manuales, instructivos, normas, reglamentos, etc. El proveedor de hardware y software deber proporcionar lo siguiente:2. Controles dentro de la Organizacin y Auditoria al Personal:Se refiere a la organizacin dentro del Centro de Cmputo, a la definicin clara de funciones, lnea de autoridad y responsabilidad de las diferentes unidades del rea; Se debe evitar que una misma persona tenga el control de toda una operacin dentro de una organizacin.Al realizar el reconocimiento del personal, debemos hacer un anlisis del tipo de persona y el alcance de los conocimientos que tiene respecto a los servicios que se brindan dentro del establecimiento.

Controles dentro de La Organizacin del Centro de Cmputo:Al realizar la auditoria, debemos tener claro que toda organizacin debe ceirse a ciertos controles, los cuales abarcan todo el ambiente de la operacin del equipo central de computacin y dispositivos de almacenamiento, la administracin de la cintoteca y la operacin de terminales y equipos de comunicacin por parte de los usuarios de sistemas de los diferentes servicios que se brindan dentro de Centro de Cmputo motivo de nuestra auditoria. Los controles tienen como fin: Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cmputo durante un proceso Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios. Garantizar la integridad de los recursos informticos. Asegurar la utilizacin adecuada de equipos acorde a planes y objetivos.Auditoria de personal. Planteamiento general:Tipologa del personal al servicio de las empresas. Personal en rgimen laboral y personal no laboral. Personal fijo y temporal. Los trabajadores extranjeros en particular. Documentacin a solicitar de la empresa. Formularios de apoyo. Desarrollo del trabajo. Conclusiones e informes del Auditor Laboral.Una auditora de los recursos humanos evala las actividades de administracin de personal en la organizacin con el objetivo de mejorarlas. La auditora puede cubrir un departamento, una divisin o toda la corporacin. Para ser verdaderamente eficientes, las actividades de recursos humanos de la corporacin deben considerar las necesidades y objetivos del personal, y al mismo tiempo tener en cuenta y mantenerse en consonancia con los objetivos corporativos.3. Auditora al desarrollo de hardware, software y todos sus componentes. Al momento de realizar nuestra auditoria sobre lo que es el desarrollo de software, hardware, sistemas operativos y archivos, necesitamos poner especial inters y cuidado en lo que a esta rea se refiere ya que para que el Centro funcione a la perfeccin, debemos tener en cuenta los siguientes puntos:

Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionen mayores beneficios que cualquier otra alternativa. Garantizar la seleccin adecuada de equipos y sistemas de computacin Asegurar la elaboracin de un plan de actividades previo a la instalacin. Instalar equipos que protejan la informacin y los dispositivos en caso de variacin de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energa.Hardware: El hardware comprende aquellos elementos fsicos que intervienen en el sistema de informacin que comprenden los registros fsicos, los perifricos y el ordenador central.

En estos componentes ( hardware ) se incide en auditora sobre la salvaguarda de activos, esto es, tipos de custodia o requerimientos que comprenden todos los elementos fsicos integrantes del sistema de informacin.Algo muy interesante de auditar es ver si el componente fsico es adecuado con el soporte lgico que se tiene o que se quiere tener.Software: Este viene siendo el componente lgico de un sistema de informacin que va desde las aplicaciones informticas hasta la configuracin de los campos que se utilizan en el sistema de informacin. En una auditoria, este es un punto clave, pues es el que nos indica el grado de calidad con que cuenta el centro de cmputo para brindar los servicios solicitados.Sistema Operativo: (SO) es el programa o conjunto de programas que efectan la gestin de los procesos bsicos de un sistema informtico, y permite la normal ejecucin del resto de las operaciones. Uno de los propsitos del sistema operativo consiste en gestionar los recursos de localizacin y proteccin de acceso del hardware. La mayora de aparatos electrnicos que utilizan microprocesadores para funcionar, llevan incorporado un sistema operativo. (telfono mvil, reproductores de DVD, radios, etc).

Archivos: Un archivo o fichero informtico es un conjunto de bits almacenado en un dispositivo.

Un archivo es identificado por un nombre y la descripcin de la carpeta o directorio que lo contiene. Los archivos informticos se llaman as porque son los equivalentes digitales de los archivos en tarjetas, papel o microfichas del entorno de oficina tradicional. Los archivos informticos facilitan una manera de organizar los recursos usados para almacenar permanentemente datos en un sistema informtico.4. Auditora a las Aplicaciones en Funcionamiento: las aplicaciones web generan dinmicamente una serie de pginas en un formato estndar, como HTML o XHTML, soportados por los navegadores web comunes. Se utilizan lenguajes interpretados en el lado del cliente, directamente o a travs de plugins (Programa que puede anexarse a otro para aumentar sus funcionalidades) tales como JavaScript, Java, Flash, etc., para aadir elementos dinmicos a la interfaz de usuario. Al momento de realizar la auditoria, el encargado debe cerciorarse e investigar cuales son las aplicaciones con que cuentan los equipos a auditar, el tipo de datos de entrada y las salidas con que cuenta el local.

Entrada y salida de Datos: Las entradas son las seales recibidas por la unidad, mientras que las salidas son las seales enviadas por sta.Para que el Centro de Cmputo funcione correctamente, conjuntamente con los usuarios, se deben establecer ciertos paramentos respecto a proceso de entrada y salida de datos los cuales detallamos a continuacin: La preparacin de datos de entrada debe ser responsabilidad de los usuarios y consecuentemente su correccin. La Recepcin de datos de entrada y distribucin de informacin de salida debe obedecer a un horario elaborado en coordinacin con el usuario, realizando un debido control de calidad y dependiendo del tipo de trabajo realizado tomando en cuenta el tipo de trabajo y el volumen del mismo. Adoptar acciones necesarias para correcciones de errores. La entrada y salida de datos, como cualquier tipo de trabajo realizado dentro del Centro de Cmputo, debe ser debidamente verificado por el personal encargado.Controles de Procesamiento: Por procesamiento de datos se entienden habitualmente las tcnicas elctricas, electrnicas o mecnicas usadas para manipular datos para el empleo humano o de mquinas.Los controles de procesamiento se refieren al ciclo que sigue la informacin desde la entrada hasta la salida de la informacin, lo que conlleva al establecimiento de una serie de seguridades para obtener buenos resultados, las cuales mencionamos a continuacin: Asegurar que todos los datos sean procesados. Garantizar la exactitud de los datos procesados. Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditora Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.Utilitarios: Los Programas Utilitarios son aplicaciones de software que ejecutan funciones miscelneas dentro de sus sistemas operativos. Los programas utilitarios realizan varias actividades dependiendo del propsito de su diseo, es una herramienta que realiza soporte para la construccin y ejecucin de diversos programas a utilizar.5. Auditora al Ambiente de Redes: Una Auditora de Redes es, en esencia, una serie de mecanismos mediante los cuales se pone a prueba una red informtica, evaluando su desempeo y seguridad, a fin de lograr una utilizacin ms eficiente y segura de la informacin.Seguridad fsica del equipo: Cuando hablamos de seguridad fsica del equipo, nos referimos a todos aquellos mecanismos -generalmente de prevencin y deteccin- destinados a proteger fsicamente cualquier recurso del sistema; estos recursos son desde un simple teclado hasta una cinta de back up con toda la informacin que hay en el sistema, pasando por la propia CPU de la mquina, incluyendo todo el cableado necesario para su perfecto funcionamiento; para ello se debe tener en cuenta la necesidad de planificar el mantenimiento del hardware y software, tomando todas las seguridades para garantizar la integridad de la informacin y el buen servicio a usuarios.Por ningn motivo se debe olvidar asegurar un buen respaldo de mantenimiento y asistencia tcnica en forma peridica.Una vez vencida la garanta de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo para los equipos y los sistemas instalados.Perfiles de Usuarios: El perfil de usuario contiene las preferencias y las opciones de configuracin de cada usuario. Los usuarios deben participar en el diseo e implantacin de los sistemas pues aportan conocimiento y experiencia de su rea y esta actividad facilita el proceso de cambio y a la vez ayuda a brindar un mejor servicio.6. Recomendaciones y respaldos. Al finalizar la auditoria al citado Centro de Cmputo, el auditor estar en capacidad de rendir un detallado informe con el trabajo realizado, las fallas encontradas y las debidas recomendaciones a dichas fallas y las prevenciones que se deben tener para evitar cualquier tipo de anomala.

Planes de Respaldo: Contempla las medidas preventivas antes de que se materialice una amenaza. Su finalidad es evitar dicha materializacin y que en caso de llegar a darse una falla, tengamos automticamente un respaldo con que reponer la falla y continuar con nuestro trabajo de manera eficiente, tratando de llenar las expectativas esperadas.

Todos los sistemas deben estar debidamente documentados, respaldados y actualizados y para ello, se debe tomar en cuenta los datos originales del programa y las versiones que incluyan los cambios efectuados con sus respectivas modificaciones.Tambin se deben implantarlos los procedimientos de solicitud, aprobacin y ejecucin de los cambios efectuados.Recomendaciones: Por ltimo, al realizar la auditoria, el auditor debe presentar su informe y enunciar sus recomendaciones respecto al trabajo realizado, a fin de mejorar cualquier falla encontrada dentro de los parmetros auditados.