EL AUDITOR INFORMÁTICO Es el profesional que ha de cuidar y velar por la correcta utilización de los diversos recursos que la organización y debe comprobar que se este llevando acabo un eficiente y eficaz Sistema de Información y la Tecnología de la Información. Pues estas dos puntos en la actualidad soporta la Auditoría y Control de los Sistemas e Informática en la Gestión moderna. Cuando se aplica el CIPOD en la Auditoría y Control de Sistemas e Informática.- Nos encontramos que en ella no da "Indicios, anomalías y síntomas" que nos permite percibir que la Organización bajo control esta con problemas de resultados como como de eficacia y eficiencia en los Sistemas Sistemas Informáticos y en la Tecnología de la Información.
CUANDO SE REQUIERE UN AUDITOR INFORMATICO CREATIVIDAD y
Sistemas Informáticos de Baja Perfomance creativa.
y
Deficiente
manejo
de
Imaginación
y
Creatividad
para
las
Producciones de Servicios. y
No permite variabilidad y atención a Usuarios.
y
Falta de una buena Integración de la Información y Difusión del Organismo con la Sociedad, a través de medios y del internet.
y
Pocos Servicios Creativos, donde el usuario manifiesta su descontento.
y
Exceso de monotonía y rutina de procesos administrativos y técnicos.
y
Deficiente nivel de Proceso de la Investigación y Desarrollo Creativo.
y
Usuarios se quejan por engorrosos procedimientos Informáticos.
INTELIGENCIA y
La Organización no cuenta con Formación de Conocimientos en Sistemas y Tecnología Informática.
y
Exceso de averías en los Sistemas Informáticos.
y
No hay Capacitación ni entrenamiento de nuevas Tecnologías.
y
Tratamiento de la Tecnología para la Inteligencia Empresarial muy deficiente.
y
Los Estándares de Productividad son bajos.
y
Bajo Índice de Producción de Servicio (Planificación, Producción y Soporte Técnico),
y
Usuarios salen conformes con la resolución de problemas (Relacionados a los Sistemas Informáticos).
y
Informática de Comunicaciones, Tele Comunicaciones y Redes; no se encuentra Integrado a los Procesos Intranet, Extranet e Internet.
y
Los Controles Inteligentes de procesos son deficientes.
y
Deficiente nivel de Investigación y Desarrollo Tecnológico.
y
Alto Índice de desatendidos y asuntos pendientes (Relacionados a Tecnologías de la Información).
PERSONALIDAD
y
Carencia de Identidad, Rumbo y de Mística Laboral y Personal.
y
Síntomas de mala Imagen.
y
Baja Productividad de Trabajo.
y
Alto Índice de estrés laboral.
y
Perdida de credibilidad del Organismos.
y
Usuarios manifiestan su descontento con el trato y atención.
ORGANIZACIÓN y
Desorganización estructural y Funcional.
y
Descoordinación Funcional Horizontal - Vertical.
y
Demasiado Centralismo Funcional y Operativo de los Sistemas Informáticos.
y
Alto riesgo de Inseguridad Operativa, de Tecnología y de Información.
y
Las áreas de Producción, Desarrollo, Sistemas, Comunicaciones y Seguridad en estado Critico.
y
Usuarios manifiestan excesiva desubicación en los desplazamientos por la organización.
y
Usuarios manifiestan descontento porque no se cumplen con los plazos de entrega de resultados periódicos.
DIRECCIÓN y
Carencia de Objetivos, Estrategias y Planes de los Sistemas e Informática.
y
Toma de Decisiones deficientes por Tecnologías de la Información inadecuadas.
y
Los Programas de Auditorías y Control no logra recomponer fallas.
y
Descoordinación en la Toma de decisiones.
y
Desviaciones Presupuestarias significativas.
y
Incremento desmesurado de costos y gastos.
y
Carencia de Proyectos de Sistemas e Informática.
y
Baja adopción de Medidas del Plan de Contingencias.
y
Usuarios se quejan por ineficacias de Resoluciones en Niveles Directivos.
HERRAMIENTAS
Y TÉCNICAS PARA LA AUDITORÍA INFORMÁTICA
y
Cuestionarios.
y
Entrevistas.
y
Formularios Checklist.
y
Formularios Virtuales,
y
Pruebas de Consistencias.
y
Inventarios y Valorizaciones.
y
Historias de cambios y mejoras.
y
Reporte de Bases de Datos y Archivos
y
Reportes de Estandares.
y
Compatibilidades e Uniformidades.
y
Software de Interrogación:
y
Certificados, Garantías, otros del Software.
y
Fotografías o Tomas de Valor (Imágenes).
y
Diseño de Flujos y de la red de Información.
y
Planos de Distribución e Instalación (Para Estudio y Revisión).
y
Listado de Proveedores.
y
Otros.
METODOLOGÍA DE TRABAJO DE AUDITORÍA INFORMÁTICA. 1. Diseño del Plan y método de trabajo. 2. Alcance y Objetivos de la Auditoría Informática. 3. Estudio inicial del entorno u medio auditable. 4. Determinación de los recursos necesarios para realizar la auditoría. 5. Elaboración del plan y de los Programas de Trabajo. 6. Actividades propiamente dichas de la auditoría. 7. Confección y redacción del Informe Final.
8.
Determinación de las Conclusiones y recomendaciones.
9. Fijación del Pliego de Responsabilidades y valoración de Gestión. 10. Redacción de la Carta del Informe final.
OBJETIVOS ESPECIFICOS DE LA AUDITORIA DE SISTEMAS 1. Participación en el desarrollo de nuevos sistemas: y
Evaluación de controles
y
Cumplimiento de la metodología.
2. Evaluación de la seguridad en el área informática. 3. Evaluación de suficiencia en los planes de contingencia. y
respaldos, preveer qué va a pasar si se presentan fallas.
4. Opinión de la utilización de los recursos informáticos. y
resguardo y protección de activos.
5. Control de modificación a las aplicaciones existentes. y
fraudes
y
control a las modificaciones de los programas.
6. Participación en la negociación de contratos con los proveedores. 7. Revisión de la utilización del sistema operativo y los programas
8.
y
utilitarios.
y
control sobre la utilización de los sistemas operativos
y
programas utilitarios.
Auditoría de la base de datos. y
estructura sobre la cual se desarrollan las aplicaciones...
9. Auditoría de la red de teleprocesos. 10. Desarrollo de software de auditoría.
Es el objetivo final de una auditoría de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos.
FINES DE LA AUDITORIA DE SISTEMAS 1. Fundamentar la opinión del auditor interno (externo) sobre la confiabilidad de los sistemas de información. 2. Expresar la opinión sobre la eficiencia de las operaciones en el área de TI.
SIMILITUDES Y DIFERENCIAS CON LA AUDITORÍA TRADICIONAL SIMILITUDES y
No se requieren nuevas normas de auditoría, son las mismas.
y
Los elementos básicos de un buen sistema de control contable interno siguen siendo los mismos; por ejemplo, la adecuada segregación de funciones.
y
Los propósitos principales del estudio y la evaluación del control contable interno son la obtención de evidencia para respaldar una opinión y determinar la base, oportunidad y extensión de las pruebas futuras de auditoría.
DIFERENCIAS y
Se establecen algunos nuevos procedimientos de auditoría.
y
Hay diferencias en las técnicas destinadas a mantener un adecuado control interno contable.
y
Hay alguna diferencia en la manera de estudiar y evaluar el control interno contable. Una diferencia significativa es que en algunos procesos se usan programas.
y
El énfasis en la evaluación de los sistemas manuales esta en la evaluación de transacciones, mientras que el énfasis en los sistemas informáticos, está en la evaluación del control interno.
ASPECTOS DEL MEDIO AMBIENTE INFORMATICO QUE AFECTAN EL ENFOQUE DE LA AUDITORIA Y SUS PROCEDIMIENTOS. y
Complejidad de los sistemas.
y
uso de lenguajes.
y
metodologías, son parte de las personas y su experiencia.
y
Centralización.
y
departamento de sistemas que coordina y centraliza todas las operaciones relaciones los usuarios son altamente dependientes del área de sistemas.
y
Controles del computador.
CONTROLES MANUALES, HOY AUTOMATIZADOS (PROCEDIMIENTOS PROGRAMADOS) y
Confiabilidad electrónica.
y
debilidades de las máquinas y tecnología.
y
Transmisión y registro de la información en medios magnéticos, óptico y otros.
y
almacenamiento en medios que deben acceder a través del computador mismo.
y
Centros externos de procesamiento de datos.
y
Dependencia externa.
RAZONES PARA LA EXISTENCIA DE LA FUNCION DE AUDITOR DE SISTEMAS 1. La información es un recurso clave en la empresa para: y
Planear el futuro, controlar el presente y evaluar el pasado.
2. Las operaciones de la empresa dependen cada vez más de la sistematización.
3. Los riesgos tienden a aumentar, debido a: y
Pérdida de información
y
Pérdida de activos.
y
Pérdida de servicios/ventas.
4. La sistematización representa un costo significativo para y
la empresa en cuanto a: hardware, software y personal.
5. Los problemas se identifican sólo al final. 6. El permanente avance tecnológico.
REQUERIMIENTOS DEL AUDITOR DE SISTEMAS 1. Entendimiento global e integral del negocio, de sus puntos claves, áreas críticas, entorno económico, social y político. 2. Entendimiento del efecto de los sistemas en la organización. 3. Entendimiento de los objetivos de la auditoría. 4. Conocimiento de los recursos de computación de la empresa. 5. Conocimiento de los proyectos de sistemas.
RIESGOS ASOCIADOS AL AREA DE TECNOLOGIA DE INVESTIGACION HARDWARE
- Descuido o falta de protección: Condiciones inapropiadas, mal manejo, no observancia de las normas. - Destrucción.
SOFTWARE - uso o acceso, - copia, - modificación, - destrucción,
- hurto, - errores u omisiones.
ARCHIVOS - Usos o acceso, - copia, modificación, destrucción, hurto.
ORGANIZACIÓN - Inadecuada: no funcional, sin división de funciones. - Falta de seguridad, - Falta de políticas y planes. PERSONAL
- Deshonesto, incompetente y descontento.
USUARIOS - Enmascaramiento, falta de autorización, falta de conocimiento de su función.