Etapa de Planeación de la Auditoría
El primer paso para realizar una auditoría de sistemas es la planeación de cómo se va a ejecutar la auditoría, donde se debe identificar de forma clara las razones por las que se va a realizar la auditoría, la determinación del objetivo de la misma, el diseño de métodos, técnicas y procedimientos necesarios para llevarla a cabo y para la solicitud de documentos que servirán de apoyo para la ejecución, terminando con la elaboración de la documentación de los planes, programas y presupuestos para llevarla a cabo.
Identificar el origen de la auditoría: este es el primer paso para iniciar la planeación de la auditoría, en esta se debe determinar por qué surge la necesidad o inquietud de realizar una auditoría. Las preguntas que se deben contestar ¿de dónde?, ¿por qué?, ¿Quién? o ¿para qué? Se quiere hacer la evaluación de algún aspecto de los sistemas de la empresa.
Visita Preliminar al Área informática: este es el segundo paso en la planeación de la auditoría y consiste en realizar una visita preliminar al área de informática que será auditada, luego de conocer el origen de la petición de realizar la auditoría y antes de iniciarla formalmente; el propósito es el de tener un primer contacto con el personal asignado a dicha área, conocer la distribución de los sistemas y donde se localizan los servidores y equipos terminales en el centro de cómputo, sus características, las medidas de seguridad y otros aspectos sobre que problemáticas que se presentan en el área auditada. Se deben tener en cuenta aspectos tales como: La visita inicial para el arranque de la auditoría cuya finalidad es saber ¿Cómo se encuentran distribuidos los equipos en el área?, ¿Cuántos, cuáles, cómo y de qué tipo son los servidores y terminales que existen en el área?, ¿Qué características generales de los sistemas que serán auditados?, ¿Qué tipo de instalaciones y conexiones físicas existen en el área?, ¿Cuál es la reacción del personal frente al auditor?, ¿Cuáles son las medidas de seguridad física existentes en el área?, y ¿Qué limitaciones se observan para realizar la auditoría?. Con esta información el auditor podrá diseñar las medidas necesarias para una adecuada planeación de la auditoría y establecer algunas acciones concretas que le ayuden al desarrollo de la evaluación.
Establecer los Objetivos de la Auditoría: los objetivos de la planeación de la auditoría son:
· El objetivo general, que es el fin global de lo que se pretende alcanzar con
el desarrollo de la auditoría informática y de sistemas, en él se plantean todos los aspectos que se pretende evaluar.
· Los objetivos específicos, que son los fines individuales que se pretenden
para el logro del objetivo general, donde se señala específicamente los sistemas, componentes o elementos concretos que deben ser evaluados.
Determinar los puntos que serán evaluados: una vez determinados los objetivos de la auditoría se debe relacionar los aspectos que serán evaluados, y para esto se debe considerar aspectos específicos del área informática y de los sistemas computacionales tales como: la gestión administrativa del área informática y el centro de cómputo, el cumplimiento de las funciones del personal informático y usuarios de los sistemas, los sistemas en desarrollo, la operación de los sistemas en producción, los programas de capacitación para el personal del área y usuarios de los sistemas, protección de las bases de datos, datos confidenciales y accesos a las mismas, protección de las copias de seguridad y la restauración de la información, entre otros aspectos.
Elaborar planes, programas y presupuestos para realizar la auditoría: para realizar la planeación formal de la auditoría informática y de sistemas, en la cual se concretan los planes, programas y presupuestos para llevarla a cabo se debe elaborar los documentos formales para el desarrollo de la auditoría, donde se delimiten las etapas, eventos y actividades y los tiempos de ejecución para el cumplimiento del objetivo, anexando el presupuesto con los costos de los recursos que se utilizarán para llevarla a cabo.
Algunos de los aspectos a tener en cuenta serán: las actividades que se van a realizar, los responsables de realizarlas, los recursos materiales y los tiempos; el flujo de eventos que sirven de guía; la estimación de los recursos humanos, materiales e informáticos que serán utilizados; los tiempos estimados para las actividades y para la auditoría; los auditores responsables y participantes de las actividades; otras especificaciones del programa de auditoría.
Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría: en éste se determina la documentación y medios necesarios para llevar a cabo la revisión y evaluación en la empresa, seleccionando o diseñando los métodos, procedimientos, herramientas, e instrumentos necesarios de acuerdo a los planes, presupuestos y programas establecidos anteriormente para la auditoría. Para ello se deben considerar los siguientes puntos: establecer la guía de ponderación de cada uno de los puntos que se debe evaluar; elaborar una guía de la auditoría; elaborar el documento formal de la guía de auditoría; determinar las herramientas, métodos y procedimientos para la auditoría de sistemas; diseñar los sistemas, programas y métodos de pruebas para la auditoría.
Asignar los recursos y sistemas computacionales para la auditoría: finalmente se debe asignar los recursos que serán utilizados para realizar la auditoría. Con la asignación de estos recursos humanos, informáticos, tecnológicos y de cualquier otro tipo se llevará a cabo la auditoría.
Etapa de Ejecución de la Auditoría
La siguiente etapa después de la planeación de la auditoría es la ejecución de la misma, y está determinada por las características propias, los puntos elegidos y los requerimientos estimados en la planeación.
Etapa de Dictamen de la Auditoría
La tercera etapa luego de la planeación y ejecución es emitir el dictamen, que es el resultado final de la auditoría, donde se presentan los siguientes puntos: la elaboración del informe de las situaciones que se han detectado, la elaboración del dictamen final y la presentación del informe de auditoría.
Analizar la información y elaborar un informe de las situaciones detectadas: junto con la detección de las oportunidades de mejoramiento se debe realizar el análisis de los papeles de trabajo y la elaboración del borrador de las oportunidades detectadas, para ser discutidas con los auditados, después se hacen las modificaciones necesarias y posteriormente el informe final de las situaciones detectadas.
Elaborar el Dictamen Final: el auditor debe terminar la elaboración del informe final de auditoría y complementarlo con el dictamen final, para después presentarlo a los directivos del área auditada para que conozcan la situación actual del área, antes de presentarlo al representante o gerente de la empresa. Una vez comentadas las desviaciones con los auditados, se elabora el informe final, lo cual es garantía de que los auditados ya aceptaron las desviaciones encontradas y que luego se llevan a documentos formales.
Elaborar el Dictamen Formal: el último paso de esta metodología es presentar formalmente el informe y el dictamen de la auditoria al más alto de los directivos de la empresa, donde se informa de los resultados de la auditoría. Tanto el informe como el dictamen deben presentarse en forma resumida, correcta y profesional. La presentación de la misma se hace en una reunión directiva y por eso es indispensable usar un lenguaje claro tanto en el informe como en la exposición del mismo. El informe debe contener los siguientes puntos: la carta de presentación, el dictamen de la auditoría, el informe de situaciones relevantes y los anexos y cuadros estadísticos.
Al elaborar el dictamen formal se hace tomando en cuenta el informe comentado a los directivos, junto al formato de hallazgos o desviaciones y los papeles de trabajo de cada uno de los auditores. La integración del dictamen y el informe final de auditoría deben ser elaborados con la máxima perfección, tratando de evitar errores. También deben contener de manera clara y concreta, las desviaciones detectadas en la evaluación.
TIPOS DE AUDITORÍA DE SISTEMAS
Dentro de la auditoría informática destacan los siguientes tipos (entre otros):
Auditoría de la gestión: Referido a la contratación de bienes y servicios, documentación de los programas, etc.
Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.
Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.
Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.
Auditoría de las comunicaciones: Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación.
Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.
QUE ES LA AUDITORÍA DE SISTEMAS
Es la revisión que se dirige a evaluar los métodos y procedimientos de uso en una ntidad, con el propósito de determinar si su diseño y aplicación son correctos; y comprobar el sistema de procesamiento de Información como parte de la evaluación de control interno; así como para identificar aspectos susceptibles de mejorarse o eliminarse.
VALORES DEL AUDITOR DE SISTEMAS
1. ETICA Es una disciplina filosófica que se define como "principios directivos que orientan a las personas en cuanto a la concepción de la vida, el hombre, los juicios, los hechos, y la moral. La tecnología informática plantea nuevas situaciones y nuevos problemas y gran parte de estas nuevas situaciones y problemas son de una naturaleza ética
2. CÓDIGOS ÉTICOS El Contenido de ética en informática es importante, por considerarlo como un instrumento que nos facilita reconocer los problemas y resolverlos de acuerdo a los objetivos buscados Los códigos de ética, tal como se conocen en el mundo de las empresas, son sistemas de reglas establecidos con el propósito general de guiar el comportamiento de los integrantes de la organización y de aquellos con los cuales ésta actúa habitualmente
3. LOS DIEZ MANDAMIENTOS DE LA ÉTICA INFORMÁTICA
• NO USARÁS UNA COMPUTADORA PARA DAÑAR A OTROS. • NO INTERFERIRÁS CON EL TRABAJO AJENO. • NO INDAGARÁS EN LOS ARCHIVOS AJENOS. • NO UTILIZARÁS UNA COMPUTADORA PARA ROBAR. • NO UTILIZARÁS LA INFORMÁTICA PARA REALIZAR FRAUDES. • NO COPIARÁS O UTILIZARÁS SOFTWARE QUE NO HAYAS COMPRADO. • NO UTILIZARÁS LOS RECURSOS INFORMÁTICOS AJENOS SIN LA DEBIDA AUTORIZACIÓN. • NO TE APROPIARÁS DE LOS DERECHOS INTELECTUALES DE OTROS. • DEBERÁS EVALUAR LAS CONSECUENCIAS SOCIALES DE CUALQUIER CÓDIGO QUE DESARROLLES. • SIEMPRE UTILIZARÁS LAS COMPUTADORAS DE MANERA DE RESPETAR LOS DERECHOS DE LOS DEMÁS.
4. Los valores, forman parte de los objetos, acciones y actitudes que el ser humano persigue por considerarlos valiosos Los cambios tecnológicos y la proliferación de la información han sido las herramientas fundamentales para la apertura de las fronteras en todo el mundo Las Redes informáticas, la Radio y la Televisión han llegado tan lejos que la moral y los valores éticos de la profesión han sido dejados de lado por estos sistemas de comunicación que buscan abaratar los mercados con productos basura que le venden a la gente, generando violencia en sus programas
5. EL AUDITOR INFORMÁTICO HA DE VELAR POR LA CORRECTA UTILIZACIÓN DE LOS AMPLIOS RECURSOS QUE LA EMPRESA PONE EN JUEGO PARA DISPONER DE UN EFICIENTE Y EFICAZ SISTEMA DE INFORMACIÓN. ES UN PROFESIONAL DEDICADO AL ANÁLISIS DE SISTEMAS DE INFORMACIÓN, QUE ESTA ESPECIALIZADO EN ALGUNAS DE LAS RAMAS DE LA AUDITORIA INFORMÁTICA, QUE TIENE CONOCIMIENTOS GENERALES DE LOS ÁMBITOS EN LOS QUE ESTA SE MUEVE, ADEMÁS DE CONTAR CON CONOCIMIENTOS EMPRESARIALES GENERALES.
6. Se deben poseer una mezcla de conocimientos de auditoría financiera y de informática en general. Especialización en función de la importancia económica que tienen distintos componentes financieros dentro del entorno empresarial. Debe conocer técnicas de administración de empresas y de cambio, ya que las recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la empresa y a los recursos que se poseen. Debe tener un enfoque de Calidad Total, lo cual hará que sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad.
7. Responsable en:
• Verificación del control interno tanto de las aplicaciones como de los periféricos, etc.
• Análisis de la administración de Sistemas de Información, desde un punto de vista de riesgo de seguridad, administración y efectividad de la administración
• Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de aplicaciones
• Análisis de la administración de los riesgos de la información y de la seguridad implícita
• Diagnóstico del grado de cobertura que dan las aplicaciones a las necesidades estratégicas y operativas de información de la empresa
8. Principio de beneficio del auditado El auditor deberá conseguir la máxima eficiencia y rentabilidad de los medios informáticos de la empresa auditada El auditor deberá evitar estar ligado a determinados intereses
9. Principio de calidad El auditor deberá prestar servicios con los medios a su alcance Libertad de utilización de los mismos Condiciones técnicas adecuadas
10. • Exige al auditor una seguridad en sus conocimientos técnicos y una clara percepción de sus carencias (acudiendo a expertos si necesario) dejando constancia de esa circunstancia y reflejando en forma diferenciada, en sus informes y dictámenes, las opiniones y conclusiones propias y las emitidas por los mismo • Debe guardar un escrupuloso respeto por la política de la empresa que audita Principio de comportamiento profesional
11. Principio de confianza El auditor deberá facilitar e incrementar la confianza del auditado en base a una actuación de transparencia en su actividad profesional
12. Principio de legalidad El auditor deberá evitar utilizar sus conocimientos para facilitar, a los auditados o a terceras personas, la contravención de la legalidad vigente
13. Principio de no injerencia El auditor deberá evitar injerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer comentarios que pudieran interpretarse como despreciativos de la misma o provocar cierto desprestigio de su calificación profesional
QUE ES EL GOBIERNO TI?
Consiste en una estructura de relaciones y procesos destinados a dirigir y controlar la empresa, con la finalidad de alcanzar sus objetivos y añadir valor mientras se equilibran los riesgos y el retorno sobre TI y sus procesos.
El Gobierno de TI, es una metodología de trabajo, no una solución en sí. Está orientado a proveer las estructuras que unen los procesos de TI, recursos de TI e información con las estrategias y los objetivos de la empresa. Además, el Gobierno de TI integra e institucionaliza las mejores prácticas de planificación y organización, adquisición e implementación, entrega de servicios y soporte, y monitoriza el rendimiento de TI para asegurar que la información de la empresa y las tecnologías relacionadas soportan los objetivos del negocio.
El Gobierno de TI conduce a la empresa a tomar total ventaja de su información logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja competitiva.
BIBLIOGRAFIA
Keren Zanabria. ( 27 de may. de 2015). Valores eticos del auditor de sistemas informaticos. 17 diciembre 2019, de es.slideshare.net/ Sitio web: https://es.slideshare.net/karen12san/valores-eticos-del-auditor-de-sistemas-informaticos-48671938
Super Blog. (2013). AI Auditoria Informatica. 17 diciembre 2019, de http://icci-auditoria-informatica.blogspot.com/ Sitio web: http://icci-auditoria-informatica.blogspot.com/p/tipos-de-ai.html
Sandra Henriquez. (junio 19, 2011). QUE ES GOBIERNO TI?. 17 diciembre 2019, de https://gobiernoti.wordpress.com/ Sitio web: https://gobiernoti.wordpress.com/2011/06/19/gobierno-ti/
