Please enable JavaScript.
Coggle requires JavaScript to display documents.
Pasos parar realizar una auditoria informatica, Autor : GALLEGOS YUCRA…
Pasos parar realizar una auditoria informatica
Etapas de la Metodologia
:check: Serie de etapas para
conseguir que la evaluación se realice correctamente
:check: El buen análisis y estructuración de
las etapas en el inicio de la auditoría
Fases
Fase I. Definición de alcance y objetivos
Se definen dos puntos imprescindibles como alcance y objetivos
Alcance
2) Acuerdo por escrito (auditor-cliente) si existen aéreas especiales o diversas sedes a auditar
1) Entorno, límites y profundización de actuación en la realización de la auditoría informática
Objetivos
Analizar con gran exactitud los requerimientos del cliente y deberá
hacer cumplir todos los procedimientos
Objetivos generales
:red_flag: Controles generales: modo de funcionamiento, controles técnicos y sobre procedimientos.
:red_flag: Comprobar las normas: propias de las instalaciones informáticas y procedimientos generales y específicos del departamento de informática.
:red_flag: Comprobar que no existan contradicciones con otras normas comunicación con las personas que tengan poder de decisión en la empresa y a quien irá dirigido : :
Objetivos específicos
:red_flag: Ver la necesidad de auditar un procedimiento de gran complejidad
:red_flag: Contrastar los informes de la auditoría interna con la externa
:red_flag: Evaluación del funcionamiento de determinadas áreas en un departamento
:red_flag: Implementar el aumento de la seguridad, fiabilidad y calidad
:red_flag: Trabajar sobre la disminución de costes o plazos
Fase II. Estudio inicial
Examinar la situación general de funciones y
actividades generales de la informática
estructura organizativa del departamento de informática a auditar
aplicaciones informáticas: procedimientos informáticos realizados en la empresa
como los relacionados con Bases de Datos, Ficheros, ERP,...
organigrama: estructura informática de la organización a auditar
departamentos: describir sus funciones y sus relaciones jerárquicas
flujos de información, tanto horizontales y oblicuos como extra departamentales y
verticales
número de puestos de trabajo y personas por puesto de trabajo
. Fase III. Entorno operacional
l análisis físico del funcionamiento de la
organización, así como los diferentes elementos hardware y software que lo componen
situación geográfica: situación del CPD, modo de funcionamiento y responsables
inventario, análisis y configuración del hardware y software existente en la
empresa
esquema del mapa de conexionado de red y configuración
Aplicaciones de BBDD y ficheros
:smiley: analizaremos la cantidad, el volumen y complejidad de las aplicaciones así como su
diseño
:smiley: documentación: mejora la posible resolución de problemas
:smiley: complejidad de BBDD y ficheros: tamaño, número de accesos y actualización
Fase IV. Determinación de recursos de la Auditoría Informática
se determinan los recursos humanos y materiales
Recursos materiales
la mayoría serán proporcionados por la empresa auditada
software y hardware: paquetes de utilidades de auditoría y herramientas para
llevarla a cabo como PC, impresora
Recursos humanos:
dependerá de la profundidad y áreas a auditar
los perfiles profesionales de los auditores
Profesión. Actividades y Conocimientos deseados
Fase V. Actividades de la Auditoría Informática
definen técnicas y métodos a tener en cuenta para la recogida de
información sobre los empleados y la organización
Revisión
análisis de la propia información y la obtenida en la auditoría
entrevistas
con método preestablecido y preparación
gran elaboración de preguntas y orden
checklist: cuestionario minucioso, ordenado y estructurado por materias
simulación
muestreos
Herramientas
cuestionario general
cuestionario-checklist
simuladores (aplicaciones generadores de datos)
paquetes de Auditoría (generadores de programas)
:checkered_flag: Rastrear los caminos de los datos
:checkered_flag: Paquetes de parametrización de librerías
:checkered_flag: Utilizados principalmente en auditorías no de informática.
Otras actividades a tener en cuenta
Movilización.
Mantener una reunión de planificación inicial para determinar el proceso más eficaz y rentable de obtención de información y el uso de especialistas y herramientas necesarias
Entorno de control
Registrar y evaluar el entorno de control de la empresa
Información del negocio/sector
Planificar la utilización de tecnología
Obtener comprensión del negocio, estructura, riesgos
Discutir preocupaciones, necesidades y expectativas
Información sobre los sistemas y el entorno informático
Evaluando los controles de supervisión
Estrategia de auditoría
Reunión de planificación
Preparar los programas de auditoría.
Para las áreas de auditoría, analizando los
riesgos de error y fraudes identificados
Preparar un plan de tareas
:check: Calendario e información a recibir del cliente.
:check: Plan de tareas, con asignación de tiempos
:check:Roles y responsabilidades de miembros del equipo auditor y estrategia de comunicación para revisar, asignar tareas y acordar objetivos
Comunicación del plan
:pen: Informar a los miembros del equipo
:pen: Presentar al cliente el plan de auditoría a seguir
Ejecución
Documentar, evaluar y probar los controles de supervisión de las
aplicaciones ejecutadas
Otros procedimientos de auditoría.
Informes finales
Revisión.
Completar los pasos y tareas del trabajo
Finalización
:explode: Completar y revisar el tratamiento informático
:explode: Aspectos críticos importantes han sido resueltos, documentados y
comunicados al cliente y al equipo.
:explode: Carta de manifestaciones del cliente
Información al cliente
Comunicar las debilidades significativas de control interno
y las recomendaciones oportunas
Evaluaciones
Calidad del servicio en relación con las expectativas del cliente
Fase VI. Informe final
Titulo o Identificación del Informe , Fecha de comienzo, Miembros del equipo que realizarán la auditoría, Nombre de la entidad auditada, Seleccionar a los destinatarios que recibirán el informe
finaliza
nombre, dirección y datos de registro del auditor
firma del auditor
fecha de emisión del Informe
Objetivos y Alcance de la auditoría
estándares, especificaciones, prácticas y procedimientos utilizados, excepciones aplicadas
Limitaciones encontradas y objetivos no auditados
Materias consideradas en la auditoría
situación actual: hechos importantes y consolidados, tendencias de situación futura , recomendaciones, redacción de la carta de presentación
puntos débiles y amenazas
hecho encontrado, consecuencias del hecho, repercusión del hecho (influencias sobre otros aspectos), conclusión del hecho
Fase VII. Carta de Introducción o Presentación del Informe Final
carta de presentación del Informe Final
Resumen en 3 o 4 folios del contenido del informe final
Incluye fecha, naturaleza, objetivos y alcance de la auditoría
Cuantifica la importancia de la áreas analizadas
Proporciona una conclusión general, concretando las áreas de gran debilidad
Presenta las debilidades en orden de importancia
Marcos y Referencias para la Auditoría Informática
LOPD
La ley orgánica de Protección de Datos de Carácter Personal tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.
Autor : GALLEGOS YUCRA LUIS ADRIANO
:smiley:
