auditoria

Procedimientos: El Auditor debe reunir los elementos de juicio válidos, pertinentes y suficientes que le permitan respaldar sus actas e informes, a través de la aplicación de los siguientes procedimientos de auditoria

 Metodologuia:Debemos decir que hoy en día no existe una metodología estándar para realizar una auditoría de información, sin embargo podemos desarrollar una serie de actividades y técnicas que nos pueden ayudar a realizarlas:

Inventario físico

 Mapificación de la información (Infomap).

 Análisis de las necesidades de información

 Gráficos de procesos y flujos de trabajo.

 Procesos de control y verificación

1. Alcance de la Auditoria

· Organización y cualificación del personal de Seguridad.

· Remodelar el ambiente de trabajo.

· Planes y procedimientos.

· Sistemas técnicos de Seguridad y Protección.

   

Aplicaciones

Las aplicaciones o sistemas de información son uno de los ³productos finales´ que genera lainfraestructura de las TI en las organizaciones y por ende son el aspecto de mayorvisibilidad desde la perspectiva de negocio.La siguiente exposición presentará una metodología completa y estructurada para realizarauditorías de aplicaciones además de las principales técnicas de auditoría para desarrollo depruebas sustantivas en ambientes de tecnología de información, técnicas y herramientas deauditoría. Aplicada a sistemas en funcionamiento en cuanto al grado de cumplimiento de losobjetivos para los que fueron creado

 

2. Objetivos

_ Revisión de las políticas y Normas sobre seguridad Física.

_ Verificar la seguridad de personal, datos, hardware, software e instalaciones

_ Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente

informático

 

3- Pasos para Realizar la  Auditoria de Sistema

Se requieren varios pasos para realizar una auditoria. El auditor de sistemas debe evaluar los

 Riesgos globales y luego desarrollar un programa de auditoria que consta de objetivos de control y procedimientos de auditoria que deben satisfacer esos objetivos.

El proceso de auditoria exige que el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare

 Un informe de auditoria que presente esos temas en forma objetiva a

La gerencia. Asimismo, la gerencia de auditoria debe garantizar una disponibilidad y asignación adecuada de recursos para realizar el trabajo de auditoria además de las revisiones de seguimiento sobre

Las acciones correctivas emprendidas por la gerencia.

4- Como Derteminar los Puntos de Evaluar una Auditoria de Sistema

•  Se deberá evaluar la planeación de las aplicaciones que pueden provenir de tres fuentes principales:

•   La planeación estratégica: agrupadas las aplicaciones en conjuntos relacionados entre sí y no como programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados en la dependencia, independientemente de los recursos que impliquen su desarrollo y justificación en el momento de la planeación.

•     Los requerimientos de los usuarios.

•     El inventario de sistemas en proceso al recopilar la información de los cambios que han sido solicitados, sin importar si se efectuaron o se registraron.

 

5- Elaboración de Plan y Programación de Trabajo en una Auditoria de Sistema

 

Una vez asignadas los recursos, el responsable de la auditoría y sus colaboradores establece un plan de trabajo

.

    En el Plan no se consideran calendarios porque se manejan recursos genéricos y no específicos.

    En el Plan se establecen los Recursos y Esfuerzos globales que van a ser necesarios.

  El Plan establece las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente.

    El Plan establece la disponibilidad futura del personal y de los demás recursos durante la duración de la Revisión.

   El Plan estructura las tareas a realizar por cada integrante del equipo

   En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.

. ACTIVIDADES DE LA AUDITORIA INFORMATICA

En este Apartado vamos a hacer un repaso de las acciones auditoras, las técnicas concretas que se utilizan y las herramientas de las que se ayudan.

Auditoría por temas generales o por áreas específicas

Actividad de la Auditoria

 Planear la auditoria. Establecer la fecha de inicio de la auditoria, objetivos y alcance, recopilar información preliminar del auditado. Es importante la involucración temprana del auditado para propiciar su colaboración, participación y apoyo a la auditoria.

7- Redacción del Informe Final de la Auditoria

1. Identificación del informe

Auditoria física.

2. Identificación del Cliente

El área de Informática

. Identificación de la Entidad Auditada

Municipalidad Provincial de Moquegua.

4. Objetivos

_ Verificar la estructura de distribución de los equipos.

_ Revisar la correcta utilización de los equipos

_ Verificar la condición del centro de cómputo.

5. Hallazgos Potenciales

_ Falta de presupuesto y personal.

_ Falta de un local mas amplio

_ No existe un calendario de mantenimiento

_ Falta de ventilación.

_ .faltan salida al exterior

_ Existe salidas de emergencia.

6. Alcance de la auditoria

Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado

especialmente al Departamento de centro de cómputo de acuerdo a las normas y demás disposiciones aplicable al efecto.

7. Conclusiones:

· Como resultado de la Auditoria podemos manifestar que hemos cumplido con

evaluar cada uno de los objetivos contenidos en el programa de auditoria.

· El Departamento de centro de cómputo presenta deficiencias sobre todo en el

debido cumplimiento de Normas de seguridad.

8. Recomendaciones

· Reubicación del local

· Implantación de equipos de ultima generación

· Implantar equipos de ventilación

· Implantar salidas de emergencia.

· Elaborar un calendario de mantenimiento de rutina periódico .

· Capacitar al personal.

 Resumen de auditoria

. El auditor tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un objetivo específico, que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación. El área de informática puede interactuar de dos maneras en el control interno. La primera es servir de herramienta para llevar a cabo un adecuado control interno, y la segunda es tener un control interno del área y del departamento de informática.
 

En el primer caso se lleva el control interno por medio de la evaluación de una organización, utilizando la computadora como herramienta que auxiliará en el logro de los objetivos, lo cual se puede hacer por medio de paquetes de auditoría. Esto debe ser considerado como parte del control interno con informática. En el segundo caso se lleva a cabo el control interno de informática. Es decir, como se señala en los objetibvos del control interno, se deben proteger adecvuadamente los activos de la organización por medio del control, para que se obtenga la información en forma veraz, oportuna y confiable, para que se mejore la eficiencia de la operación de la organización mendiante la informática, y para que en la ejecución de las operaciones de informática se cumplan las políticas establecidas por la administración: todo ello debe ser considerado como control interno de informática.