Auditoría

Page 1

Trabajo 2.3 Auditoría

Trabajo 2.3 Auditoría García López David Alessandro Porras Noriega Fátima Abigail IRIC 901

Enlista y describe un compendio de consideraciones y buenas prácticas a seguir en el proceso de una auditoría informática. Etapa 0. Investigación preliminar. Determinar las necesidades y características del trabajo a realizar. Las consideraciones son: A. Identificar el origen de la auditoría. Conocer por qué surge la necesidad o inquietud de realizarla. B. Realizar una vista preliminar del área que será auditada para tener un contacto inicial con el personal y observar el estado general del área para conocer la situación de la organización, información solicitada, si es o no necesaria y la fecha de actualización. C. Solicitar y revisar la información de cada una de las áreas, p. ej. Administración, Sistemas. Una buena práctica al realizar esta etapa es la utilización de observaciones, entrevistas, solicitud de documentos, descripciones de los sistemas instalados o que se instalarán, etc. a fin de obtener los objetivos y alcances de cada departamento y obtener una visión general de la organización. D. Otra buena práctica al analizar y dimensionar la estructura por auditar es solicitar a nivel del área de informática información como: Objetivos a corto y largo plazo; Recursos materiales y técnicos; Documentos sobre los equipos y sistemas instalados y por instalar, número de ellos, localización, características, configuración y capacidades, fechas de instalación; Contratos vigentes de compra, renta y servicio de mantenimiento; Contratos de seguros; Políticas de operación y uso de los equipos; y Manual de procedimientos. E. Podrían considerarse como buenas prácticas para el éxito de esta etapa: Evitar información sustancialmente falsa o confusa, que se proporcione de manera descuidada o poco fiable; Concentrarse en la funcionalidad del producto y no en el proceso; No confiar en la memoria, preguntar constantemente; y Criticar objetivamente y a fondo todos los informes y los datos recabados. Etapa 1. Planeación. Elaborar programas de trabajo. Se deben tomar en cuenta las siguientes consideraciones o buenas prácticas: A. Trabajos preliminares. Quién es el cliente, y qué es lo que se requiere. • Se debe obtener una comprensión tanto de la jerarquía organizacional, como de la estructura y la jerarquía del departamento de TI. Comprender la organización, ayudará a decidir qué auditar, por qué, cuándo y cómo para establecer los objetivos de la auditoría. • Es muy recomendable el comprender tanto el ambiente del negocio en el que se ha de realizar la auditoría, como el comprender el ambiente normativo en el que opera. Como buena práctica, se sugiere basarse en el marco regulatorio de la organización. B. Diagnóstico informativo. Panorámica de cómo se percibe, aplica y practica la informática. • Comprender las diversas prácticas y funciones relacionadas con la informática, los tipos de sistemas de información, los sistemas de información que respaldan la actividad, así como el entorno en funcionamiento. • Clasificar la criticidad de los sistemas de TI, ya sea aquellos cuyo fallo tendría un impacto muy grande en la organización, o los que apoyan en la toma de decisiones de gestión, cuya ausencia puede no tener un impacto tan grave. C. Investigación previa. Reconocer la infraestructura y capacidad instalada con que se cuenta, para validar la problemática y determinar el alcance y estimaciones del trabajo. • Una buena práctica en este rubro es conocer la naturaleza del hardware y software utilizado, de manera que al conocer estos detalles de la organización en general y del sistema de TI se obtenga una comprensión de los riesgos involucrados. • Una consideración más es el evaluar el proceso de adquisición y mantenimiento de hardware. Se debe comprender el tipo de software utilizado, detalles de los SO, de los sistemas de gestión de BD, etc. Para determinar el alcance y la estimación del trabajo que implican. • Debe recopilarse información relacionada con la arquitectura de red, la tecnología para establecer la conectividad, dónde se colocan los firewalls, etc. De manera que se permita planificar el enfoque de auditoría y las fuentes requeridas para la recopilación de pruebas. D. Elaborar el programa de auditoría. Calendario, involucrados, e interacciones a realizar • Buenas prácticas al elaborar el programa de auditoría podrían ser el leer material de antecedentes, incluidas publicaciones de la organización, informes anuales e informes de auditoría, revisar planes estratégicos a largo plazo, etc. • Se elaboran los documentos que contemplen los planes formales para el desarrollo de la auditoría, en estos documentos se delimitan las etapas, eventos, actividades y tiempos de ejecución para cumplir los objetivos, de manera que se elabora el calendario, se da un presupuesto y se identifica a los involucrados o equipo auditor necesario. • En esta parte es recomendable identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría y se debe considerar también la asignación de los recursos y sistemas que serán utilizados. Etapa 2. Documentación. Obtener evidencia suficiente y competente para sustentar el dictamen. Esta etapa se encarga de recopilar toda la información necesaria respecto al entorno a evaluar (un proyecto o activos de TI específicos) para obtener una referencia sobre cuales son los resultados que se esperan al final de la auditoria, durante esta etapa se suele: • • • • •

Obtener la documentación de software de aplicación, hardware y bibliotecas. Inventariar y categorizar los sistemas de la información. Identificar los sistemas críticos. Determinar elementos prioritarios, frecuencia y recursos a utilizar. Conocer los controles internos (procedimientos, políticas, prácticas y estructuras organizacionales).

Planes de mantenimiento preventivo, correctivo y detectivo.

Durante esta etapa del proceso se puede incluir una evaluación de riesgos, ya que uno de los propósitos de la auditoría de TI es asegurar la confidencialidad, disponibilidad e integridad de los datos en los activos de TI, por lo que es de suma importancia considerar los posibles daños ante un fallo de seguridad o rendimiento. Por otra parte, se debe tomar en cuenta que toda la información obtenida varía de acuerdo a la organización, y esto permitirá generar una perspectiva final al término de la auditoria y determinar cuáles son los resultados aceptables y no aceptables de la inspección. Pueden existir otros recursos de información que sirven como referencia para darle enfoque a la auditoría, determinar los objetivos y hasta dónde se cubrirá. Etapa 3. Análisis y evaluación. Generar evidencia mediante la interpretación de la información obtenida. Las consideraciones son: A. En primer lugar, es sumamente importante llevar a cabo la buena práctica que permita que en el análisis y evaluación se separe lo importante de lo urgente, con el objeto de reconocer qué información es útil y principal y cuál es de soporte y secundaria. B. Otra consideración importante es conocer el tipo de evidencia que se va a recopilar, su uso como evidencia de auditoría para cumplir los objetivos y sus diferentes niveles de confiabilidad, de manera que se puede proseguir a evaluar, por ejemplo, si es una inspección física, evaluar todos los activos tangibles, tales como la presencia de extintores, de computadoras, los controles de acceso, etc. C. Otra buena práctica es utilizar métodos como los siguientes para recopilar pruebas de la auditoría y posteriormente evaluarlas: Entrevistas (brindan tanto información cualitativa como cuantitativa), se obtiene un mejor entendimiento de las funciones y controles integrados; Cuestionarios, permiten marcar áreas de oportunidad del proyecto; Diagramas de flujo, permiten comprender, evaluar y comunicar el entendimiento del proyecto, entre otros métodos más. D. También deben considerarse herramientas como las siguientes para realizar el análisis, los cuales proporcionan medios para obtener acceso y manipular los datos que se mantienen almacenados: Software de auditoría generalizada; Software de auditoría de una industria específica; Software de auditoría especializado, etc. E. Finalmente se puede analizar e interpretar toda la información, a fin de evaluar las debilidades y fortalezas encontradas por medio de métodos estadísticos. Etapa 4. Dictamen de auditoría. Generar conclusiones y recomendaciones basadas en la normativa aplicable a la situación. La última etapa del proceso de auditoría se encarga de redactar un informe en el que se muestran los resultados obtenidos, áreas de oportunidad y las recomendaciones que se tienen que atender. Este informe suele contener: A. Lugar, fecha de emisión, destinatario. B. Introducción. Una breve introducción la auditoria de TI que se tomó, esta incluye un resumen de las características de los activos de TI que forman parte del proyecto a evaluar para que el lector tenga una mejor idea de lo que se hablará. También se menciona la criticalidad de los sistemas a evaluar y la complejidad del flujo de la información. C. Objetivos, Enfoque y Metodología. Es requerido para los lectores para poder entender el propósito de la auditoría, qué es reportado y cuáles son las limitaciones, se describe la profundidad con la que se hizo la auditoria, qué procesos y herramientas se utilizaron y los elementos; organización, localización y hardware y software. D. Resultados. Se deben incluir los resultados obtenidos de la aplicación de la etapa anterior, de manera que sea incluya información suficiente, competente y relevante y los antecedentes necesarios para asegurar el entendimiento. E. Conclusiones. En esta parte el auditor da una interpretación a los resultados obtenidos. Las conclusiones persuasivas dependen de la evidencia que se utiliza como soporte para una formulación lógica de esta. F. Recomendaciones. Se describen todas recomendaciones para darle seguimiento a las áreas de oportunidad detectadas en la auditoría de una manera constructiva para motivar a los responsables a implementar mejoras. G. Logros notables. Ayuda a generar un balance en el reporte final al proveer una visión un poco más completa de los resultados (no solo muestra deficiencias). H. Limitaciones. Se mencionan las limitaciones que se enfrentaron durante el proceso de auditoria.

Fuentes bibliográficas • •

Albarrán, S. y Merlos, J. (2019). Las Metodologías de la Auditoría Informática y su relación con Buenas Prácticas y Estándares. Universidad Autónoma del Estado de México. Thornton, G. (1990). IT Audit Manual. Reforma Administrative Territoriale.

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.