Alcance de la auditoría informática

Alcance de la auditoría informática

El alcance de la auditoría informática apoya al Objetivo fundamental de la auditoría informática, el cual es la Operatividad.

Dentro del alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática y se complementa con los objetivos de ésta.

Los puntos del alcance de la auditoría expresa los límites de la misma, por lo tanto, debe existir un acuerdo muy preciso entre auditores y clientes.

Ya que con ellos se definirán sobre las funciones, las materias y las organizaciones a auditar.

El alcance de la auditoría informática ha de figurar expresamente en el Informe final

De modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas.

Ejemplos:

  • ¿Se someterán los registros grabados a un control de integridad exhaustivo?.
  • ¿Se comprobará que los controles de validación de errores son adecuados y suficientes?

Definir el alcance de la auditoría informática

Es describir la extensión y los límites de la auditoría, tales como, ubicación, unidades de la organización, actividades y procesos a ser auditados.

Así como el periodo de tiempo cubierto por dependiendo a la clases de auditoría que se tenga.

Diseñar un manual de seguimiento para el auditor

En el cual se debe identificar los principales aspectos que deben ser verificados y las particularidades fundamentales, por lo tanto, garanticen que la auditoría aplicada es efectiva.

Proponer un mecanismo de evaluación que permita calificar el resultado de la auditoría.

Este mecanismo debe estar compuesto de fórmulas que ponderen o valoren cada criterio, es así, que debe contener rangos de evaluación de la auditoría.

Esto también ayudará a Identificar el perfil y experiencia que deben tener la firma y los miembros del equipo consultor que llevará a cabo las auditorías.

Alcance de la auditoría informática
Alcance de la auditoría informática

Limitaciones de una auditoría informática

Una de las limitaciones importantes, es la distancia entre existe entre la empresa auditada y nuestro equipo de trabajo, debido a que esta distancia dificulta el proceso.

El tiempo restringuido para realizar la auditoría exhaustiva ya que solo se tiene un periodo de tiempo para realizarla.

Además de retrasos en el proceso o por falta de colaboración por parte de la empresa en el lapso de tiempo establecido.

Negativa de la empresa a entregarnos determinada información o a dejarnos practicar procedimientos por el cual concluiriamos con nuestra auditoría.

Destrucción accidental de documentación o registros necesarios para la auditoría.

El criterio profesional de miembros de la empresa o auditores internos pueden contradecir el proceso en el cual, se desarrolla nuestra auditoría.

Campo de acción del auditor de TI

  • La evaluación administrativa del área de trabajo.
  • Evaluar los sistemas, procedimientos y de la eficiencia que se tiene en el uso de la información, ya que, una evaluación eficiente y eficaz ayuda en el trabajo.
  • Evaluación del proceso de los datos, los sistemas y los equipos de cómputo con todo lo que implica (software, redes, comunicaciones, hardware, bases de datos, etc.).
  • Confidencialidad y la seguridad de toda la información.
  • Aspectos legales de todos los sistemas.

El campo de aplicación de la auditoría informática

La evaluación administrativa del área de informática

  • Los objetivos del departamento, dirección o gerencia deben ser evaluados con rigurosidad, ya que estos deben mirar rumbos iguales.
  • Revisión exhaustivas de las metas, planes, políticas y procedimientos de procesos electrónicos, debido a los estándares que deben cumplir.
  • Revisar la organización del área y su estructura orgánica, esto por consiguiente nos ayuda a entender el funcionamiento de la empresa auditada.
  • El conocimiento de las funciones y niveles de autoridad y responsabilidad del área de procesos electrónicos, muestran como resultado el flujo de trabajo que la empresa.
  • la Integración de los recursos materiales y técnicos, como consecuencia de un debido control de procesos.
  • Costos y controles presupuestales.
  • Controles administrativos del área de procesos electrónicos.

La evaluación de los sistemas y procedimientos

  • Se debe realizar un evaluación del análisis de los sistemas y sus diferentes etapas de hecho, revisar la metodología utilizada en los procesos.
  • Realizar una evaluación del diseño lógico del sistema, dará como resultado el conocimiento del sistemas en general.
  • Tener la evaluación del desarrollo físico del sistema, dará como resultado tener en claro el desempeño de la misma.
  • El control de proyectos de los proyector en consecuencia nos dará un panorama mejorado de la gestión de proyectos en la empresa.
  • Control de sistemas y programación.
  • Instructivos y documentación.
  • Formas de implantación.
  • Seguridad física y lógica de los sistemas.
  • Confidencialidad de los sistemas.
  • Controles de mantenimiento y forma de respaldo de los sistemas.
  • Utilización de los sistemas.
  • Prevención de factores que puedan causar contingencias; seguros y recuperación en caso de desastre.
  • Productividad.
  • Derechos de autor y secretos industriales.

La evaluación del procesamiento de datos

  • Controles de los datos fuente y manejo de cifras de control.
  • Control de operación, salida, asignación de trabajo, almacenamiento masivo, medios de comunicación y otros elementos de cómputo.
  • Orden en el centro de cómputo.

La seguridad y confidencialidad de la información

  • Seguridad física y lógica.
  • Confidencialidad.
  • Respaldos.
  • Seguridad del personal.
  • Seguros.
  • Seguridad en la utilización de los equipos.
  • Plan de contingencia y procedimiento de respaldo para casos de desastre.
  • Restauración de equipos y de sistemas.

Deja un comentario