sábado, 28 de mayo de 2011

METODOS DE AUDITORIA

Papel Del Auditor Informático.



 La auditoria informática comprende las tareas de evaluar, analizar los procesos informáticos, el papel de auditor debe estar encaminado hacia la búsqueda de problemas existentes dentro de los sistemas utilizados, y a la vez proponer soluciones para estos problemas. Además que el auditor Informático debe estar capacitado en los siguientes aspectos:

Deberá ver cuándo se puede conseguir la máxima eficacia y rentabilidad de los medios informáticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y del estudio de las soluciones más idóneas, según los problemas detectados en el sistema informático, siempre y cuando las soluciones que se adopten no violen la ley ni los principios éticos.


El auditor deberá lógicamente abstenerse de recomendar actuaciones innecesariamente onerosas, dañina, o que genere riesgo in justificativo para el auditado e igualmente de proponer modificaciones carentes de bases científicas insuficientemente probadas o de imprevisible futuro.


Tipos de Auditoria Informática.


Auditoria Informática De Explotación: 

La explotación informática se ocupa de producir resultados, tales como listados, archivos soportados magnéticamente, órdenes automatizadas, modificación de procesos, etc. Para realizar la explotación informática se dispone de datos, las cuales sufren una transformación y se someten a controles de integridad y calidad. (Integridad nos sirve a nosotros; la calidad es que sirven los datos, pero pueden que no sirvan; estos dos juntos realizan una información buena).


Auditoria Informática De Desarrollo De Proyectos O Aplicaciones: 

La función de desarrollo es una evaluación del llamado Análisis de programación y sistemas. Así por ejemplo una aplicación podría tener las siguientes fases:

Prerrequisitos del usuario y del entorno
Análisis funcional
Diseño
Análisis orgánico (pre programación y programación)
Pruebas
Explotación

Auditoria Informática De Sistemas:

Se ocupa de analizar la actividad que se conoce como técnica de sistemas, en todos sus factores. La importancia creciente de las telecomunicaciones o propicia de que las comunicaciones, líneas y redes de las instalaciones informáticas se auditen por separado, aunque formen parte del entorno general del sistema (Ej. De auditar el cableado estructurado, ancho de banda de una red LAN)

Auditoria Informática De Comunicación Y Redes: 
Este tipo de auditoría deberá inquirir o actuar sobre los índices de utilización de las líneas contratadas con información sobre tiempos de uso y de no uso, deberá conocer la topología de la red de comunicaciones, ya sea la actual o la desactualizada.
Auditoria De La Seguridad Informática: 
Se debe tener presente la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones, lo que significa que se debe cuidar del mal uso de esta información, de los robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total.   

Planeación de la Auditoria Informática.

 

La definición de los objetivos perseguidos en la auditoria informática debe preceder a la elección de los medios y de las acciones, si se pretende evitar el predominio de estos últimos. Para lograr un buena planeación es conveniente primero obtener información general sobre la organización y sobre la función informática a evaluar.

Investigación Preliminar

Se debe recopilar información para obtener una visión general del área a auditar por medio de observaciones, entrevistas preliminares y solicitudes de documentos. La finalidad es definir el objetivo y alcance del estudio, así como el programa detallado de la investigación.
Se debe hacer una investigación preliminar solicitando y revisando la información de cada una de las áreas de la organización. 

Para poder analizar y dimensionar la estructura por auditar se debe solicitar:

1- A nivel Organización Total:

 2- A nivel Área informática:

3- Recursos materiales y técnicos

     4- Sistemas


Etapas de la Metodología Informática.

El método de trabajo del auditor pasa por las siguientes etapas:
·      
  Alcance y Objetivos de la Auditoría Informática
  • Estudio inicial del entorno auditable
  • Determinación de los recursos necesarios para realizar la auditoría
  • Elaboración del plan y de los Programas de Trabajo
  • Actividades propiamente dichas de la auditoría
  • Confección y redacción del Informe Final

Clasificación por Áreas de Aplicación de la Auditoria Informática

 


Planificacion: Donde se pasa revista a las distintas fases de la planificación.


Organizacion y administracion: en este punto se examinaran aspectos como las relaciones con los usuarios, con los proveedores, asignación de recursos, procedimientos, etc.


Desarrollo de Sistemas: área importante donde la auditoría deberá velar por la adecuación de la informática a las necesidades reales de la Empresa. 


Explotacion: aquí se analizarán los procedimientos de operación y explotación en el centro de proceso de datos.


Entorno y Hardware: donde se vigilará entre otras cosas los locales, el software de acceso, alarmas, sistemas anti-incendios, protección de los sistemas, fiabilidad del Hardware, etc.
Entorno de Software: en esta área la Auditoria Informática analizará los sistemas de prevención y detección de fraudes, los exámenes a aplicaciones concretas, los controles a establecer, en definitiva, todo lo relacionado con la fiabilidad, integridad y seguridad del software.


Metodología CRMR  

CRMR son las siglas de “Computer resource management review”, su traducción más adecuada, Evaluación de la gestión de recursos informáticos. En cualquier caso, esta terminología quiere destacar la posibilidad de realizar una evaluación de eficiencia de utilización de los recursos por medio del management.Una revisión de esta naturaleza no tiene en sí misma el grado de profundidad de una auditoría informática global, pero proporciona soluciones más rápidas a problemas concretos y notorios.
 
En función de la definición dada, la metodología abreviada CRMR es aplicable más a deficiencias organizativas y gerenciales que a problemas de tipo técnico, pero no cubre cualquier área de un Centro de Procesos de Datos.

Las áreas en que el método CRMR puede ser aplicado se corresponden con las sujetas a las condiciones de aplicación señaladas en punto anterior:

         1. Gestión de Datos
         2.Control de Operaciones
         3.Control y utilización de recursos materiales y humanos
         4.Interfaces y relaciones con usuarios
         5.Planificación
         6.Organización y administración.

Ciertamente, el CRMR no es adecuado para evaluar la procedencia de adquisición de nuevos equipos (Capacity Planning) o para revisar muy a fondo los caminos críticos o las holguras de un Proyecto complejo.

Descargar guia completa  aqui

No hay comentarios:

Publicar un comentario en la entrada