Metodología para realizar una Auditoría Informática

Una metodología para realizar una auditoría informática exitosa depende de muchos factores, en este post veremos algunos criterios básicos para realizar la Auditoría Informática.

Metodología para realizar una Auditoría Informática
Metodología para realizar una Auditoría Informática

ESTUDIO PRELIMINAR

En esta fase el estudio es corto a nivel de tiempo, asimismo en su investigación.

La auditoría informática desarrolla ac­tividades basado en un método de trabajo formal.

El cual debe ser entendido por los auditores en informática y complementado con técnicas y herramientas propias.

Se tiene 2 etapas:

  • Realizar el Estudio preliminar del entorno a auditar
  • Identificar el Alcance y los Objetivos de la Auditoría Informática (A.I.)

Etapa preliminar o diagnóstico del entorno a estudiar

Las actividades del auditor en informática deben quedar bien definidas en los componentes formales que integran cualquier trabajo dentro de una organización.

Por lo tanto, el primer paso que tiene el auditor en informática dentro de las empresas al efectuar un proyecto de auditoría en informática.

Por consiguiente, se debe hacer un diagnóstico del negocio, que incluye a la alta dirección y las áreas usuarias.

Identificar el Alcance y los Objetivos de la Auditoría Informática (A.I.)

Alcance: Entorno y límites en que se realizará la Auditoría informática

Acuerdo por escrito (entre auditor y cliente) cuando se incluyen áreas no informáticas o cuando la empresa tiene varias sedes, de:

  • Funciones (Seguridad, Dirección, etc.)
  • Materias (S.O., BD, etc.)
  • Departamentos o Áreas Organizativas (Explotación, Sistemas, Comunicaciones, etc.)

En consecuencia, su no definición pondrá en peligro el éxito de la A.I.

Objetivos

El Auditor debe comprender con exactitud los deseos y pretensiones del cliente, por ende cumplir con los objetivos establecidos.

Objetivos generales

  • Controles Generales de la Gestión Informática
  • Verificar normas del Departamento de Informática, así mismo se debe observar su consistencia con las del resto de la empresa
  • Normas Generales de la Instalación Informática

Objetivos específicos

  • Necesidad de auditar una materia de gran especialización
  • Evaluación del funcionamiento de áreas informáticas en un determinado departamento
  • Aumentos de seguridad y fiabilidad

REVISIÓN Y EVALUACIÓN DE CONTROLES Y SEGURIDADES.

Abarca la revisión de los diferentes diagramas de flujo de procesos como la realización de pruebas de cumplimiento de las seguridades informáticas.

Se debe realizar la revisión de aplicaciones de las áreas críticas, así también la revisión de procesos históricos (backups), la revisión de documentación y archivos.

asimismo, tener otras actividades de importancia que nos permitan tener una idea más clara del entorno.

Objetivos de la evaluación

  • Verificar la existencia de los controles requeridos
  • Determinar la operatividad y suficiencia de los controles existentes

REVISIÓN Y EVALUACIÓN DE CONTROLES Y SEGURIDADES.

CONTROLES

Son conjunto de disposiciones metódicas, por ello se debe vigilar las funciones y actitudes de las empresas.

Para ello permite verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y principios admitidos.

Las herramientas de control:

son los elementos software que permiten definir uno o varios procedimientos de control, por ende cumplir una normativa y un objetivo de control.

Revisión y evaluación de controles y seguridades.
Revisión y evaluación de controles y seguridades.

EXAMEN DETALLADO DE ÁREAS CRÍTICAS

Con las fases anteriores el auditor descubre las áreas críticas así como, lo que se hace sobre ellas:

  • Un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo, por lo tanto la distribución de carga del mismo
  • Establecerá los motivos, objetivos, alcance recursos que usará
  • Definirá la metodología de trabajo, por lo tanto la duración de la auditoría
  • Presentará el plan de trabajo y analizará detalladamente cada problema encontrado con todo lo anteriormente analizado.

INFORME DE AUDITORÍA – COMUNICACIÓN DE RESULTADOS.

Finalmente, se elaborará del borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al definitivo.

Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de las áreas.

COMUNICACIÓN DE RESULTADOS

  • Motivos de la auditora
  • Introducción:
    • objetivo y contenido del informe de auditoria
  • Objetivos de la auditoría
  • Alcance, cobertura de la evaluación realizada
  • Estructuras Orgánicas
    • Funcional del área informática Configuración del Hardware y software instalado
  • Opinión: con relación a la suficiencia del control interno del sistema evaluado
  • Hallazgos
  • Dictamen
  • Recomendaciones

Deja un comentario