ASPECTOS METODOLOGICOS DE LA AUDITORIA INFORMATICA QUIEN, QUE, CUANDO Y COMO?

Transcripción

1 ASPECTOS METODOLOGICOS DE LA AUDITORIA INFORMATICA QUIEN, QUE, CUANDO Y COMO?

2 COMO? INFORMACION CHECHKLIST VERBALES CUESTIONARIOS SOFTWARE: TRAZAS: DEBUG,LOG OFIMATICA: WORD,EXCEL CRUZAR INFORMACION INFORME FINAL ENTREVISTAS DOCUMENTACION HERRAMIENTAS Y TECNICAS DE LA AUDITORIA INFORMATICA PAQUETES DE AUDITORIA: GENERAN PROGRAMAS, MUESTREOS ESTADISTICOS, INTERROGAN ARCHIVOS Y BASES DE DATOS CAPACIDAD DE ANALISIS DE DEBILIDADES Y FORTALEZAS PRINCIPIO DE AUTORIDAD, PRESTIGIO Y ETICA TRATA HECHOS BASADOS EN EVIDENCIAS QUIEN? Q CONOCIMIENTOS DE TECNOLOGIA EMITE JUICIOS GLOBALES OBJETIVOS

3 ETAPAS DEFINICION DE ALCANCE Y OBJETIVOS ESTUDIO INICIAL ELABORACION DEL PLAN Y DE LOS PROGRAMAS DE TRABAJO DETERMINACION DE RECURSOS DE LA AUDITORIA INFORMATICA ACTIVIDADES DE LA AUDITORIA INFORMATICA INFORME FINAL CARTA DE INTRODUCCION O PRESENTACION DEL INFORME CUANDO? 1. DEFINICION DE ALCANCE Y OBJETIVOS Salida: Expresa las funciones, las materias y las organizaciones auditadas. Manifiesta por escrito las materias o funciones que no van a ser auditadas. Precisa con exactitud los deseos y pretensiones, del cliente, Precisa con exactitud los objetivos Determina a la persona o personas destinatarias del Informe. 2.ESTUDIO INICIAL Estudiar la organización: Entrada Organigrama oficial Manual de organización y funciones Proceso Preparar el organigrama real Determinar quién ordena, quién diseña y quién ejecuta los procesos informáticos. Analizar las funciones de los departamentos Analizar las relaciones jerárquicas entre los departamentos Analizar las relaciones funcionales entre los departamentos Analizar los flujos de información Analizar los puestos de trabajo Salida Estructura organizacional de la Informática Descripción breve y clara de las funciones de los departamentos

4 Descripción breve y clara de las relaciones de jerarquía Descripción breve y clara de las relaciones funcionales Diagramas de flujos de información Definición de los puestos de trabajo (5 0 6 por área máximo) y número de personas por puesto de trabajo Estudiar el entorno operacional Entrada Planos de la infraestructura (reales o a mano alzada) Inventario de Hardware y Software Especificación de la arquitectura y configuración de Hardware y Software Documentación de la topología y protocolos de redes Planos de distribución de los equipos informáticos Proceso Analizar la documentación de entrada Salida Resumen de la situación actual del entorno informáticos en la empresa auditada. Estudiar las aplicaciones y bases de datos Documentación de la metodología de desarrollo de sistemas Descripción de las aplicaciones Diagramas de las bases de datos y sus relaciones Documentación técnica en general Proceso Analizar la documentación de entrada Salida Resumen de la situación actual de las aplicaciones entorno relacionado con los procesos informáticos realizados en la empresa auditada. 3. DETERMINACION DE RECURSOS DE LA AUDITORIA INFORMATICA Recursos materiales a) Software: Programas propios de la Auditoría. Monitores. b) Hardware: Computadores, tiempo de máquina y oportunidad de fecha, hora y duración de las sesiones de medida. Cantidad de pantallas, espacio en disco, montajes de cintas, impresoras ocupadas y líneas de comunicaciones si van a utilizarse en exclusiva. Recursos Humanos a) Personal contable: Perfil y número b) Personal informático: Perfil y número 4.ELABORACION DEL PLAN Y DE LOS PROGRAMAS DE TRABAJO La auditoria informática general requiere mas tiempo, mayor calidad y mayores recursos. Se avanza por areas (ejm: seguridad, gestión, operación, desarrollo, etc) La auditoria informática específica requiere menos tiempo, menoror calidad. Se abarcan de una vez todas las peculiaridades del área

5 Salida: EL PLAN Se define si la auditoría es global, solo informática o especializada Se definen las áreas que se van a revisar (generales o específicas) Se definen recursos genéricos y esfuerzos globales Lista de prioridades de las materias auditables Establece contingencias por ausencia de personal Se definen las tareas por cada integrante del equipo Lista de ayudas que el auditor debe recibir del auditado Salida: PROGRAMACION DE ACTIVIDADES Diagrama de Gant (calendario real de actividades) Los Programas de Trabajo son las cuantificaciones del Plan. En ellos se asignan los recursos humanos y materiales concretos para cada sector del Plan. 5. ACTIVIDADES DE LA AUDITORIA INFORMATICA Aplicación del programa, usando las técnicas y herramientas antes expuestas 6. INFORME FINAL Redacción de informes parciales y previos Discusión de informes previos, depuración de fallos de apreciación Redacción del informe final Estructura del Informe Final Fecha de inicio: Fecha de entrega: Equipo auditor: Nombre Cargo Responsabilidad 1. Definición de objetivos y alcance de la auditoría 2. Temas considerados Lista Descripción exhaustiva 3. Cuerpo expositivo (Por cada tema objeto de auditoría) a) Situación actual. Cuando se trate de una Revisión periódica, en la que se analiza no solamente una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la situación real. b) Tendencias. Se tratarán de hallar parámetros de correlación que permitan establecer tendencias de situación futura. No siempre es posible tal pretensión. c) Puntos débiles y amenazas. Deberán explicarse por sí mismos, sin referencias a otros lugrares del informe. d) Recomendaciones y Planes de Acción. Constituyen, junto con la exposición de puntos débiles, el verdadero objeto de la auditoría informática.

6 Modelo conceptual de exposición del informe final A) El Informe debe incluir solamente hechos importantes. B) El Informe debe consolidar los hechos que se describen en el mismo. En auditoría, el término de "hechos consolidados" adquiere un especial significado de verificación objetiva y de estar documentalmente probados y soportados. La consolidación de los hechos debe satisfacer, al menos, los siguientes criterios básicos: 1. El hecho que se incluya debe poder ser sometido a cambio. 2. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación. 3. No deben existir alternativas viables que superen, por más beneficiosos y por mejor ratio prestación/ costo, al cambio propuesto. 4. La recomendación del auditor sobre el hecho en cuestión ha de mantener o mejorar las Normas y estándares existentes en la instalación. Cumplidos los dos principios y los criterios de consolidación expuestos, el hecho pasa al Informe. La aparición de un hecho en un informe de auditoría implica necesariamente la existencia de una debilidad que ha de ser corregida. Veamos el modelo de flujo del hecho o debilidad, y el orden, desde su aparición hasta la recomendación del auditor para eliminarla: 1.Hecho encontrado Ha de ser relevante para el auditor y para el cliente. Ha de ser exacto, y además convincente. No deben existir hechos repetidos. Deben procurarse evitar incluso las referencias y alusiones a otros hechos. 2. Consecuencias del hecho Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho. 3. Repercusión del hecho Se redactará, si existe, las influencias directas que el hecho pueda tener sobre otros aspectos informáticos u otros ámbitos de la empresa auditada. 4. Conclusión del hecho No deben redactarse conclusiones más que en los casos en la exposición haya sido muy extensa y compleja. 5. Recomendación del auditor informático Siempre se explicitará la palabra "Recomendación", y ninguna otra. Deberá entenderse por sí sola, por su simple lectura. Deberá estar suficientemente soportada en el propio texto. Deberá ser concreta y exacta en el tiempo, para que pueda ser seguida y verificada su implementación. La Recomendación se redactará de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla. Deberán evitarse las Recomendaciones demasiado generales. No deberán redactarse expresiones como "... se den las órdenes oportunas para que... ".Se deberá decir: "... se elabore un programa para que en 60 días...".

7 7.CARTA DE INTRODUCCION O PRESENTACION DEL INFORME FINAL La Carta de Introducción tiene especial importancia porque en un máximo de 3 ó 4 folios ha de resumirse la auditoría realizada. Es de naturaleza sumamente restrictiva: Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargó o contrató la misma, o a la persona en quién ella hubiese delegado expresamente. Así como pueden existir tantas copias del Informe Final como solicite el cliente, siempre que éste especifique los nombres de los destinatarios, la Auditoría no hará copias de la citada Carta de Introducción. Se entiende que la Carta de Presentación o Carta de Introducción del Informe debe sintetizar al máximo el contenido de aquél. El máximo responsable del cliente debe poder formarse una idea aproximada dela situación con la lectura de esta sucinta Carta. La misma, poseerá los siguientes atributos: Tendrá una longitud máxima de 4 folios, aunque la auditoría tenga centenares de ellos. Incluirá fecha, naturaleza, objetivos y alcance. Cuantificará la importancia de las áreas analizadas. Proporcionará una conclusión general, concretando las áreas de gran debilidad. Presentará las debilidades en orden de importancia y gravedad, de mayor a menor. (Obsérvese cómo el orden del Informe y de la Carta no tienen por qué coincidir). En la Carta de Introducción no se escribirán nunca Recomendaciones. (Las Recomendaciones se expresan siempre en los Informes). Pautas de Lenguaje y redacción del informe Títulos: Han de ser expresivos, pero breves. Párrafos: En cada párrafo debe tratarse un solo asunto. Cada párrafo debe tener 8 ó 10 líneas como máximo. Cuando exceda de esta cantidad, se dividirá en dos. Frases: En cada frase debe existir una sola idea. La idea suele ser expresada por el verbo. Por ello, cada frase contendrá un verbo, dos como máximo. La frase no debe superar las tres líneas. No deben cambiarse verbos por nombres. No se debe escribir "... hemos realizado un examen..."; hay que escribir "... hemos examinado...". Otros: Utilizar lenguaje sobrio normal, no excesivamente culto. Se permiten anglicismos y palabras técnicas muy conocidas. Utilizar la voz activa o reflexiva, pero nunca la pasiva. Omitir palabras innecesarias. No deben usarse expresiones como "Con referencia a", "Consecuentemente con", "en nuestra opinión", "creemos que", "consideramos que", etc. Evitar redundancias de lenguaje. No podrá redactarse, por ejemplo, "hemos revisado y analizado". No expresarse por medio de adverbios y adjetivos simultáneamente. Ejemplo: No debe redactarse "es estrictamente necesario que...".