Proceso de Auditoria de Sistemas

PROCESO DE AUDITORIA DE SISTEMAS

Se trata de llevar a cabo una auditoria de sistemas requiere una serie ordenada de acciones y procedimientos específicos, los cuales deberán ser diseñados previamente de manera secuencial, cronológica y ordenada, de acuerdo a las etapas, eventos y actividades que se requieran para su ejecución.

Etapas de la Auditoria de Sistemas:

Etapa 1: planeación de la Auditoria de Sistemas:

1. -         Identificar el origen de la auditoria.
2. -          Realizar una visita preliminar al área que será evaluada.
3. -          Establecer los objetivos de la auditoria.
4. -          Determinar los puntos que serán evaluados en la auditoria.
5. -          Elaborar planes, programas y presupuestos para realizar la auditoria.
6. -          Identificar y seleccionar métodos, herramientas e instrumentos necesarios.
7. -          Asignar los recursos y sistemas computacionales para la auditoria.

Etapa 2: Ejecución de la Auditoria de Sistemas:

1.            Realizar las acciones programadas para la auditoria.
2.            Aplicar los instrumentos y herramientas para la auditoria.
3.            Identificar y elaborar los documentos de oportunidades de mejoramiento.
4.            Elaborar el dictamen preliminar y presentarlo a discusión.
5.            Integrar el legajo de papeles de trabajo de la auditoria.

Etapa 3: Dictamen de la Auditoria de Sistemas: 

1.    Analizar la información y elaborar un informe de situaciones detectadas.
2.    Elaborar el dictamen final.
3.    Presentar el informe de auditoría.

Razones para realizar una Auditoria de Sistemas:

Contrastar algún informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa.

Servir como mecanismo protector de posibles auditorias informáticas externas decretadas por la misma empresa.

Perfil de Auditor de Sistemas

PERFIL DEL AUDITOR DE SISTEMAS

Se debe poseer una mezcla de conocimientos de auditoría financiera y de informática en general:

1. Especialización en función de la importancia económica que tiene distintos componentes  financieros dentro del entorno empresarial.
2. Debe conocer técnicas de administración de empresas y de cambio ya que las recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la empresa y a los recursos que se poseen.
3.  El auditor debe tener un enfoque de calidad total, lo cual hará que sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de la empresa.
4. Desarrollo de SI (administración de proyectos, ciclo de vida de desarrollo)
5. Administración del departamento de informática
6. Análisis de riesgos en un entorno informático
7. Sistemas operativos
8. Telecomunicaciones
9. Administración de base de datos
10. Redes locales
11. Seguridad física
12. Operación y planificación informática
13.  Administración de seguridad de los sistemas (planes de contingencias)
14. Administración del cambio
15. Administración de datos
16. Automatización de oficinas (ofimática)
17. Comercio electrónico. 

CARACTERÍSTICAS DEL AUDITOR DE SISTEMAS

Debe poseer además de conocimientos de normativas metodologías, estándares y legislación vigente.

-          Normativas y estándares de seguridad TI, normas ISO, COBIT
-          Técnica o metodología de auditoria informática
-          Regulación legal
-          Metodologías de análisis de riesgo
-          Mejoras practicas ITIL
-          Conocimientos propios del sector
  

HABILIDADES DEL AUDITOR DE SISTEMAS

Con respecto a las habilidades se consideran los siguientes:

Competencia social:

-      Trabajo en equipo: capacidad para desempeñar un rol dentro de un equipo de trabajo, con responsabilidad y cooperación.

-     Comunicación: capacidad de informar, recibir información y trasmitir una idea claramente, tanto a nivel escribo como verbal.

-         Resolución de problemas: análisis y toma de decisiones en situaciones no resueltas.

Competencia de apoyo al crecimiento:

-          Análisis: Capacidad de ver diferentes partes o aspectos de una misma información.

-          Síntesis: capacidad de llegar a una conclusión tras análisis de una serie de datos.

Competencia Personal:

-   Inteligencia emocional: aptitudes para controlar las emociones dentro de las relaciones sociales.

-          Integridad: coherencia en las actitudes e ideas trasmitidas.

-        Motivación: auto-motivación para desempeñar un trabajo con responsabilidad y entusiasmo.

PRINCIPIOS ÉTICOS DEL AUDITOR DE SISTEMAS:

-          Principio de calidad

-          Principio de capacidad

-          Principio de comportamiento profesional

-          Principio de confianza

-          Principio de criterio propio

-          Principio de legalidad

-          Principio de secreto profesional

-          Principio de veracidad

-          Principio de información suficiente

-          Principio de cautela

Estándares de Control Interno

ESTANDARES DE CONTROL INTERNO INFORMÁTICO

El Control Interno Informático puede definirse como el sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizados.

El Informe COSO define el Control Interno como “Las normas, los procedimientos, las prácticas y las estructuras organizativas diseñadas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarán y que los eventos no deseados se preverán, se detectarán y se corregirán.

En el ambiente informático, el control interno se materializa fundamentalmente en controles de dos tipos:

     Controles manuales; aquellos que son ejecutados por el personal del área usuaria o de informática sin la utilización de herramientas computacionales.

  Controles Automáticos; son generalmente los incorporados en el software, llámense estos de operación, de comunicación, de gestión de base de datos, programas de aplicación, etc.

Los controles según su finalidad se clasifican en:

·         Controles Preventivos, para tratar de evitar la producción de errores o hechos fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal no autorizado.

·         Controles Detectivos; trata de descubrir a posteriores errores o fraudes que no haya sido posible evitarlos con controles preventivos.

·         Controles Correctivos; tratan de asegurar que se subsanen todos los errores identificados mediante los controles detectivos.

               Objetivos principales:

•   Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
•      Asesorar sobre el conocimiento de las normas.
•            Colaborar y apoyar el trabajo de Auditoría Informática interna/externa.
•        Definir, implantar y ejecutar mecanismos y controles para comprobar el grado de cumplimiento de los servicios informáticos.
•         Realizar en los diferentes sistemas y entornos informáticos el control de las diferentes actividades que se realizan.

El Control Interno Informático es una función del departamento de Informática de una organización, cuyo objetivo es el de controlar que todas las actividades relacionadas a los sistemas de información automatizados se realicen cumpliendo las normas, estándares, procedimientos y disposiciones legales establecidas interna y externamente.

Entre sus funciones específicas están:

v  Difundir y controlar el cumplimiento de las normas, estándares y procedimientos al personal de programadores, técnicos y operadores.

v  Diseñar la estructura del Sistema de Control Interno de la Dirección de Informática en los siguientes aspectos:

• Desarrollo y mantenimiento del software de aplicación.

• Explotación de servidores principales.

• Software de Base.

• Redes de Computación.

• Seguridad Informática.

• Licencias de software.

• Relaciones contractuales con terceros.

• Cultura de riesgo informático en la organización.