1 AUDITORIA INFORMÁTICA CUARTO SEMESTRE LICENCIATURA: INFORMÁTICA ADMINISTRATIVA TIPO DE MATERIAL: VISUAL ELABORO: M. EN D. ED. OSCAR HERNÁNDEZ GÓMEZ FECHA DE ELABORACIÓN: 2015- B CLAVE HORAS DE TEORÍA HORAS DE PRÁCTICA TOTAL DE HORAS CRÉDITOS NÚCLEO DE FORMACIÓN L3002532 646SUSTANTIVO Centro Universitario UAEM Valle de Teotihuacán
2 El presente, contiene imágenes referentes a aspectos de suma importancia. A continuación se muestra una lista de estos elementos y su significado. Dirige al Temario Página Anterior Página Siguiente Dirige a la unidad correspondiente
3 Presentación La auditoria en informática es una práctica administrativa por demás sana en empresas y organizaciones, sobre todo en esta época donde las características del software y el hardware varían con el fin de satisfacer las necesidades muy diversas.
4 En cuanto a la estructura de este material, se puso especial énfasis en ubicar los contenidos de forma tal que su ordenamiento final ayude al lector a incorporar conceptos de manera progresiva y, a la vez, ir reforzando lo aprendido a lo largo de las unidades propuestas. Ello permitirá relacionar y elaborar los conceptos fundamentales que favorecerán al momento de aplicar los modelos de bases de datos. Presentación
5 Propósito general Definir los elementos básicos necesarios para realizar una auditoría informática.
6 Objetivos El principal objetivo, es evaluar la función de la informática desde los siguientes puntos de vista: La parte administrativa del departamento de informática. Los recursos materiales y técnicos del área de informática. Los sistemas y procedimientos, la eficiencia de su uso y su relación con las necesidades de la organización.
7 Describir la importancia que tiene el realizar una planeación adecuada y completa al inicio de una auditoría informática a una organización. Identificar los aspectos que deben revisarse en cada una de las áreas a evaluar durante la auditoría informática. Elaborar instrumentos que permitan recolectar información relevante de cada una de las áreas a evaluar en la auditoría informática. Analizar la información obtenida para detectar fortalezas y debilidades en cada una de las áreas evaluadas en la auditoría informática.Objetivos
8 Elaborar un dictamen de la auditoría informática que permita la adecuada toma de decisiones en cuanto al uso de los recursos informáticos dentro de la organización. Mencionar las características principales del control de las recomendaciones hechas en el dictamen de auditoría.Objetivos
9 1.LI, D.H (1990/2009). Auditoría en Centros de Cómputo (6o Reimpresión). Trillas. 2.Echenique, J.A. (2001). Auditoría en Informática (2o ed.). Mc Graw Hill. 3.Piattini, M.G. & Del peso, E. (2011). Auditoría Informática un Enfoque Práctico (2o ed.). Alfaomega. 4.Fernández Grajales, N. Importancia de la auditoría informática e n la s organizaciones. Entérate en línea. Internet Cómputo y Telecomunicaciones. Año 4. Núm. 43. Extraído el 20 de marzo de 2012 desde: http://www.enterate.unam.mx/Articulos/2005/octubre/auditoria.htmBibliografía
10 Temario I. Conceptos fundamentales, terminología II. Planificación de la auditoría III. Evaluación de la auditoría informática IV. Instrumentos para la recolección de información V. Análisis de información VI. Dictamen de auditoría VII. Conclusiones del dictamen
11 Conceptos de: auditoría (tipos de auditorías) Auditoría informática Política informática Control interno Perfil del auditor informático Código deontológico del auditor informático I. Conceptos fundamentales, terminología I. Conceptos fundamentales, terminología
12
13 I. Conceptos fundamentales, terminología Concepto de auditoria informática y diversos tipos de auditorias La auditoria en informática es una práctica administrativa por demás sana en empresas y organizaciones, sobre todo en esta época donde las características del software y el hardware varían con el fin de satisfacer las necesidades muy diversas.
14 I.- Concepto de auditoria a) Tiende a ser un examen critico que se realiza con el objeto de evaluar la eficiencia y eficacia de una sección o de un organismo y determinar cursos alternativos de acción para mejorar la organización, y lograr los objetivos propuestos. I. Conceptos fundamentales, terminología
15 I.- Concepto de auditoria b) Examen metódico de una situación relativa a un producto, proceso u organización, en materia de calidad, realizado en cooperación con los interesados para verificar la concordancia de la realidad con lo preestablecido y la adecuación al objetivo buscado I. Conceptos fundamentales, terminología
16 I.- Concepto de auditoria Proviene del latín auditorius, y esta proviene del término “auditor” (el que tiene la virtud de oír. La auditoria requiere el ejercicio de un juicio profesional, sólido, maduro, para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos I. Conceptos fundamentales, terminología
17 I.- Concepto de informática Ciencia del tratamiento sistemático y eficaz, realizado especialmente mediante maquinas automáticas, de la información contemplada como vehículo del saber humano y de comunicación en los ámbitos técnico, económico y social. Esta palabra proviene del francés informatique, neologismo derivado de la conjunción de información (información) y automatique (automática). I. Conceptos fundamentales, terminología
18 II. Tipos de auditoria A).- Auditoria Interna/Externa y Auditoria Contable/Financiera La auditoria interna debe estar siempre presente en todas y cada una de las partes de la organización. El estudio y evaluación del control interno se efectúa con el objeto de que el auditor efectué un estudio y evaluación adecuados del control interno existente, sirviendo de base para determinar el grado de confianza que va a depositar en el, así mismo procedimientos de auditoria. I. Conceptos fundamentales, terminología
19 II. Tipos de auditoria A).- Auditoria Interna/Externa y Auditoria Contable/Financiera Objetivos básicos del control interno en el aspecto interno contable e interno administrativo: La protección de los activos de la empresa La obtención de información financiera veraz, confiable y oportuna La promoción de la eficiencia en la operación del negocio Lograr que la ejecución de las operaciones se cumpla la política establecida por los administradores de la empresa I. Conceptos fundamentales, terminología
20 II. Tipos de auditoria B).- Auditoria Administrativa/Operacional Es el examen global y constructivo de la estructura de una empresa, de una institución, una sección del gobierno o cualquier parte de un organismo, en cuanto a sus planes y objetivos, sus métodos y controles, su forma de operación y sus facilidades humanas y físicas. I. Conceptos fundamentales, terminología
21 II. Tipos de auditoria C):- Auditoria con Informática Todos los programas o paquetes utilizados empleados en la auditoria deben permanecer bajo estricto control del departamento de auditoria.; por lo que toda la documentación, material de pruebas, listados fuente, programas fuente y objeto, además de los cambios que se les hagan, serán responsabilidad del auditor., el cual deberá asegurarse de la integridad del procesamiento. I. Conceptos fundamentales, terminología
22 II. Tipos de auditoria D).- Auditoria de Programas Esta auditoria consiste en la evaluación de la eficiencia técnica, del uso de diversos recursos (cantidad de memoria) y del tiempo que utilizan los programas, su seguridad y confiabilidad, con el objetivo de optimizarlos y evaluar el riesgo que tienen para la evaluación. I. Conceptos fundamentales, terminología
23 III.- Auditoria informática Es el conjunto de técnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificación, control, eficacia, seguridad y adecuación del servicio informático en la empresa, que servirá para una adecuada toma de decisiones, por lo que comprende un examen metódico, puntual del servicio informático, con vistas a mejorar en: –Rentabilidad –Seguridad –Eficacia I. Conceptos fundamentales, terminología
24 III.- Auditoria informática Requisitos Debe seguir una metodología preestablecida. Se realizará en una fecha precisa y fija. Será personal extraño al servicio de informática. I. Conceptos fundamentales, terminología
25 III.- Auditoria informática Influencia de la auditoría Los factores que pueden influir en una organización a través del control y la auditoría en informática son:+ Necesidad de controlar el uso evolucionado de las computadoras. Controlar el uso de la computadora, que cada día se vuelve más importante y costosa. I. Conceptos fundamentales, terminología
26 III.- Auditoria informática Influencia de la auditoría Los altos costos que producen los errores en una organización. Abuso en las computadoras. Posibilidad de pérdida de capacidades de procesamiento de datos. Posibilidad de decisiones incorrectas. Valor del hardware, software y personal. Necesidad de mantener la privacidad individual. I. Conceptos fundamentales, terminología
27 III.- Auditoria informática Influencia de la auditoría Posibilidad de pérdida de información o de mal uso de la misma. Toma de decisiones incorrectas. Necesidad de mantener la privacidad de la organización. I. Conceptos fundamentales, terminología
28 III.- Auditoria informática Campos de la auditaría en informática La evaluación administrativa del área de informática. La evaluación de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de la información. I. Conceptos fundamentales, terminología
29 III.- Auditoria informática Campos de la auditaría en informática La evaluación del proceso de datos, de los sistemas y de los equipos de computo (software, hardware, redes, bases de datos, comunicaciones). Seguridad y confidencial de la información. Aspectos legales de los sistemas y de la información. I. Conceptos fundamentales, terminología
30 III.- Auditoria informática Para lograr los puntos antes señalados se necesita: A) Evaluación administrativa del departamento de informática. Esto comprende la evaluación de: Los objetivos del departamento, dirección o gerencia. Metas, planes, políticas y procedimientos de procesos electrónicos estándares. Organización del área y su estructura orgánica. I. Conceptos fundamentales, terminología
31 A)Evaluación administrativa del departamento de informática. Esto comprende la evaluación de: Funciones y niveles de autoridad y responsabilidad del área de procesos electrónicos. Integración de los recursos y materiales y técnicos. Dirección. Costos y controles presupuestales. Controles administrativos del área de procesos electrónicos. I. Conceptos fundamentales, terminología
32 B) Evaluación de los sistemas y procedimientos, y de la eficiencia y eficacia que se tienen en el uso de la información, lo cual comprende: Evaluación del análisis de los sistemas y sus diferentes etapas. Evaluación del diseño lógico del sistema. Evaluación del desarrollo físico del sistema. Facilidades para la elaboración de los sistemas. Control de proyectos. I. Conceptos fundamentales, terminología
33 B) Evaluación de los sistemas y procedimientos, y de la eficiencia y eficacia que se tienen en el uso de la información, lo cual comprende: Control de sistemas y programación. Instructivos y documentación. Formas de implantación. Seguridad física y lógica de los sistemas. Confidencialidad de los sistemas. Controles de mantenimiento y forma de respaldo de los sistemas. Utilización de los sistemas. I. Conceptos fundamentales, terminología
34 B) Evaluación de los sistemas y procedimientos, y de la eficiencia y eficacia que se tienen en el uso de la información, lo cual comprende: Prevención de factores que puedan causar contingencias; seguros y recuperación en caso de desastre. Productividad. Derechos de autor y secretos industriales. I. Conceptos fundamentales, terminología
35 C) Evaluación del proceso de datos y de los equipos de cómputo que comprende: Controles de los datos fuente y manejo de cifras de control. Control de operación. Control de salida. Control de asignación de trabajo. Control de medios de almacenamiento masivos, Control de otros elementos de cómputo. Control de medios de comunicación. Orden en el centro de cómputo. I. Conceptos fundamentales, terminología
36 D) Seguridad Seguridad física y lógica. Confidencialidad. Respaldos. Seguridad del personal. Seguros. Seguridad en la utilización de los equipos. Plan de contingencia y procedimiento de respaldo para casos de desastre. Restauración de equipos y de sistemas. I. Conceptos fundamentales, terminología
37 2.1 Objetivo del diagnóstico previo 2.2. elaboración del plan de trabajo de la auditoría 2.3. conformación del equipo de trabajo 2.4. determinar los recursos necesarios para realizar la auditoría informática II. Planificación de la auditoría II. Planificación de la auditoría
38 E EE El departamento de auditoría interna deberá asegurarse: Que las auditorias sean supervisadas en forma apropiada. Que los informes de auditoría sean precisos, objetivos, claros, concisos, constructivos y oportunos. Que se cumplan los objetivos de la auditoría. Que las auditoria sea debidamente documentada. Que los auditores en informática posean los conocimientos, experiencias y disciplinas esenciales para realizar sus auditorías. Aplicación de un modelo de datos a un mundo real para obtener un esquema
39 Requerimientos de una auditoría A nivel organización total. A nivel del área de informática. Recursos materiales y técnicos. Sistemas. II. Planificación de la auditoría II. Planificación de la auditoría
40 En el momento de la planeación de la auditoria o bien en su realización, debemos evaluar que pueden presentarse las siguientes situaciones. Se solicita información y se ve que: No se tiene y se necesita. No se tiene y no se necesita. Se tiene información pero: No se usa. Es incompleta. No esta actualizada. No es la adecuada. Se usa, está actualizada, es la adecuada y está completa. II. Planificación de la auditoría II. Planificación de la auditoría
41 En la auditoria informática, la plantación es fundamental, desde una evaluación administrativa del área de procesos electrónicos, sistemas y procedimientos, equipos de computo estableciendo metas, programas de trabajo de auditoria, planes de contratación personal y presupuesto financiero e informes de actividades. Los pasos en el desarrollo de la Auditoria, después de la plantación son las siguientes: II. Planificación de la auditoría II. Planificación de la auditoría
42 Revisión preliminar Su objetivo es obtener la información necesaria para que el auditor pueda tomar la decisión de como proceder una auditoria. Esta significa la recolección de evidencias por medio de entrevistas con el personal de la inhalación, la observación de las actividades en la instalación de la revisión de la documentación preliminar. II. Planificación de la auditoría II. Planificación de la auditoría
43 Revisión detallada Su objetivo es obtener la información detallada para que el auditor tenga un profundo entendimiento de los controles usados dentro del área de la informática, por lo que es importante identificar las causas de las perdidas existentes dentro de la instalación y los controles para reducir las perdidas y efectos causados por estas. Examen y evaluación de la información los auditores internos deberán obtener, analizar, interpretar y documentar la información para apoyar los resultados de la auditoria. II. Planificación de la auditoría II. Planificación de la auditoría
44 El proceso que se debe llevar es el siguiente: 1.Se obtiene la información de todos los asuntos relacionados con los objetivos y alcances de la auditoria 2.La información deberá ser suficiente, relevante, y útil. 3.los procedimientos de auditoria deberán ser elegidos con anterioridad, cuando esto sea posible. 4.El proceso de recabar, analizar, interpretar y documentar la información deberá supervisarse para proporcionar una mejor seguridad. 5.Los documentos de trabajo de la auditoria deberán ser preparados por los auditores y revisados por la gerencia de auditoria. II. Planificación de la auditoría II. Planificación de la auditoría
45 Pruebas de consentimiento: el objetivo es el de determinar si los controles internos que operan como fueron diseñados para operar, además de las técnicas manuales de recolección de evidencia muy frecuentemente el auditoria debe recurrir a técnicas de recolección de información, asistidas por computadora, para determinar la existencia y la confiabilidad. Pruebas de controles del usuario: en algunos casos el auditor puede decidir el no confiar en los controles internos dentro de las instalaciones informáticas, porque el usuario ejerce controles que compensan cualquier debilidad dentro de los controles internos de informática. II. Planificación de la auditoría II. Planificación de la auditoría
46 Pruebas sustantivas: su objetivo es obtener evidencia suficiente que permita al auditor emitir su juicio en las conclusiones acerca de cuando pueden ocurrir perdidas materiales durante el proceso de información. Se pueden identificar ocho diferentes pruebas sustantivas: 1.Pruebas para identificar errores en el procesamiento 2.Pruebas para asegurar la calidad de los datos 3.Pruebas para identificar la consistencia de los datos 4.Pruebas para comparar con los datos o contadores físico II. Planificación de la auditoría II. Planificación de la auditoría
47 5. Confirmación de datos con fuentes externas 6. Pruebas para confirmar la adecuada comunicación 7. Pruebas para determinar falta de seguridad 8. Pruebas para determinar problemas de legalidad II. Planificación de la auditoría II. Planificación de la auditoría
48 Evaluación de los sistemas de acuerdo al riesgo Algunos de los sistemas de aplicación son de mas alto riesgo que otros debido a que: Son susceptible a diferentes tipos de perdida económica Las fallas pueden impactar grandemente la organización 1.Interfieren con otros sistemas, y los errores generados permean a otros sistemas. 2.Potencialmente, alto riesgo debido a daños en la competencia 3.Sistemas de tecnología de punta avanzada 4.Sistemas de alto costo 5.Son susceptibles a diferentes tipos de perdida económica 6.Las fallas pueden impactar ampliamente a la organización II. Planificación de la auditoría II. Planificación de la auditoría
49 Investigación Preliminar Esta debe incorporar fases de evaluación del control gerencial y del control de aplicaciones. Durante la revisión de los controles el auditor debe entender a la organización y las políticas y practicas gerenciales usadas en cada uno de los niveles dentro de la jerarquía de la instalación en la que se encuentran las computadoras. II. Planificación de la auditoría II. Planificación de la auditoría
50 Personal Participante En este puno no veremos el número de personas que deberán participar, ya que esto depende de las dimensiones de la organización, de los sistemas y de los equipos; lo que se deberá considerar son las características del personal que habrá de participar en la auditoria. El control del avance de auditoria se debe llevar mediante un programa de auditoria, el cual va permitir cumplir con procedimientos de control y de alguna manera asegurarnos de que el trabajo se esta llevando a cabo de acuerdo con el programa de auditoria, con los recursos estimados y en el tiempo señalado en la planeación d la auditoria. II. Planificación de la auditoría II. Planificación de la auditoría
51 3.1. Áreas a auditar 3.2. Función administrativa 3.3. Sistemas 3.4. Equipo de cómputo 3.5. Seguridad 3.6. Redes y Bases de datos III. Evaluación de la auditoría informática
52 Auditoria de la función informática 1.Recopilación de la información organizacional 2.Principales planes que se requieren dentro de la organización de informática. 3.Evaluación de la estructura orgánica. 4.Estructura orgánica. 5.Funciones. III. Evaluación de la auditoría informática
53 Auditoria de la función informática 6. Objetivos. 7. Análisis de organizaciones. 8. Evaluación de los recursos humanos. 9. Entrevistas con el personal de informática. 10. Situación presupuestal y financiera. III. Evaluación de la auditoría informática
54 1.Recopilación de la información organizacional Después de haberse elaborado la planeación de la auditoria, se deberá iniciar la recolección de la información, tomando en cuenta los siguientes elementos: a) Revisión de la estructura orgánica b) Se deberá revisar la situación de los recursos humanos c) Entrevistas con el personal de procesos electrónicos d) Se deberá conocer la situación en cuanto a: III. Evaluación de la auditoría informática
55 1.Recopilación de la información organizacional 1.Presupuesto. 2.Recursos financieros. 3.Recursos materiales 4.Mobiliario y equipo. 5.Costos. III. Evaluación de la auditoría informática
56 1.Recopilación de la información organizacional e) Se hará un levantamiento del censo de recursos humanos y análisis de la situación f) Se deberá revisar el grado de cumplimiento de los documentos administrativos Por lo que la organización deberá estar estructurada de la forma que permita logra eficiente y eficazmente los objetivos, y que esto se logre a través de una adecuada toma de decisiones III. Evaluación de la auditoría informática
57 2. Principales planes que se requieren dentro de la organización de informática. A).- Estudio de viabilidad: Consiste en la investigación de los costos y beneficios de los usos a largo plazo de las computadoras y recomienda cuando debe o no usarse; es decir una evaluación para determinar, primero si la computadora puede resolver o mejorar un determinado procedimiento y, segundo, cual es la mejor alternativa. III. Evaluación de la auditoría informática
58 2. Principales planes que se requieren dentro de la organización de informática. B).- Planeación de Cambios, Modificaciones y Actualización: Se especifican las metas y actividades que se deben realizar para lograr los cambios y modificaciones, su independencia, tiempos, responsables y restricciones, cuando la organización toma la decisión de realizar un cambio sustancial en el software, hardware, comunicación o equipos periféricos. III. Evaluación de la auditoría informática
59 2. Principales planes que se requieren dentro de la organización de informática. C).- Plan maestro: Define los objetivos a largo plazo y las metas necesarias para lograrlo. Este debe contener los objetivos, metas y actividades generales a realizar durante los siguientes años, incluyendo los nuevos sistemas que se pretenden implementar El plan maestro puede comprender cuatro subplanes: a) Plan estratégico de la organización. b) Plan estratégico de sistemas de información. c) Plan de requerimientos d) Plan de aplicación de los sistemas de información III. Evaluación de la auditoría informática
60 2. Principales planes que se requieren dentro de la organización de informática. D).- Plan De Proyectos Consiste en el plan básico para desarrollar determinado sistema y para asegurarse que el proyecto es consistente con las metas y objetivos de la organización y con aquellos señalados en el plan maestro. Es importante que este plan no solo contemple los sistemas, sino también las prioridades y el monumento en el cual se desarrollaran los sistemas. Las principales tareas que deben estar especificadas dentro de un plan de proyectos son: III. Evaluación de la auditoría informática
61 2. Principales planes que se requieren dentro de la organización de informática. Identificar las tareas a realizar Identificar las relaciones entre tareas Determinar las restricciones de tiempo de cada tarea del proyecto Determinar los recursos necesarios para cada tarea Determinar cualquier otra restricción que se tenga Determinar la secuencia de actividades III. Evaluación de la auditoría informática
62 2. Principales planes que se requieren dentro de la organización de informática. E).-Plan De Seguridad, Seguros, Contingencia Y Recuperación En Casos Siniestros Una instalación de informática esta expuesta a sufrir un desastre por muchas razones: huracanes, fuego, inundaciones, terremotos, sabotaje, fraude, problemas de equipo, por lo que se debe tener un plan que permita eliminar en lo posible la ocurrencia de un desastre o de perdida por causas internas y externas a la organización; así mismo se deberá tener un plan de recuperación, para cuando ocurra un desastre la instalación se encuentre en funcionamiento en el menor tiempo posible y con el menor impacto para la organización. III. Evaluación de la auditoría informática
63 2. Principales planes que se requieren dentro de la organización de informática. Identificar las tareas a realizar Identificar las relaciones entre tareas Determinar las restricciones de tiempo de cada tarea del proyecto Determinar los recursos necesarios para cada tarea Determinar cualquier otra restricción que se tenga Determinar la secuencia de actividades III. Evaluación de la auditoría informática
64 2. Principales planes que se requieren dentro de la organización de informática. Identificar las tareas a realizar Identificar las relaciones entre tareas Determinar las restricciones de tiempo de cada tarea del proyecto Determinar los recursos necesarios para cada tarea Determinar cualquier otra restricción que se tenga Determinar la secuencia de actividades III. Evaluación de la auditoría informática
65 2. Principales planes que se requieren dentro de la organización de informática. Identificar las tareas a realizar Identificar las relaciones entre tareas Determinar las restricciones de tiempo de cada tarea del proyecto Determinar los recursos necesarios para cada tarea Determinar cualquier otra restricción que se tenga Determinar la secuencia de actividades III. Evaluación de la auditoría informática
66 3. Evaluación de la estructura orgánica Para lograr la evaluación de la estructura orgánica, se deberá solicitar el manual de organización de la dirección el cual deberá contener como mínimo. 1.Organigrama con jerarquía 2.Funciones 3.Objetivos y políticas 4.Análisis, descripción y evaluación de puestos 5.Manual de procedimiento 6.Manual de normas 7.Instructivos de trabajo III. Evaluación de la auditoría informática
67 3. Evaluación de la estructura orgánica También se deben solicitar: Objetivos de la dirección Políticas y normas de la dirección Planeación III. Evaluación de la auditoría informática
68 6. Objetivos Uno de los problemas que puede tener el personal es el desconocimiento de los objetivos de la organización, lo cual puede deberse a una falta de definición de objetivos. Existencia (si existen objetivos o no). Formales (documentos que validen objetivos). Conocimiento (sin los trabajadores los conocen). Adecuados (si son claros y precisos). Cumplimiento (cuales si y no son cumplidos). Actualización (se modifican). III. Evaluación de la auditoría informática
69 7. Análisis de organizaciones Criterios para analizar organizaciones: Agrupar funciones similares y relaciones entre si. Agrupar funciones que sean compatibles. Localizar la actividad cerca de la función a la que sirva. Localizar la actividad cerca o dentro de la función mejor preparada para realizarla. III. Evaluación de la auditoría informática
70 8. Evaluación de los recursos humanos Criterios para analizar organizaciones: El desarrollo del personal implica: Establecer promociones y oportunidades de desarrollo. Educación y capacitación. Los aspectos a considerar son: Desempeño y comportamiento. Condiciones de ambiente de trabajo. Organización en el trabajo. Desarrollo y motivación. Capacitación y supervisión. III. Evaluación de la auditoría informática
71 9. Entrevistas con el personal de informática Puede entrevistarse un grupo de personas elegidas. Eso nos servirá para: grado de cumplimiento de la estructura organizacional administrativa. Grado de cumplimiento de las políticas y los procedimientos administrativos. Satisfacción e insatisfacción. Capacitación. Observaciones generales. III. Evaluación de la auditoría informática
72 10. Situación presupuestal y financiera PRESUPUESTOS Se obtendrá información presupuestal financiera del departamento, así como el número de equipos y características para hacer un análisis de su situación desde un punto de vista económico. Entre esta información se encuentra: Costos del departamento, desglosados por áreas y controles. Presupuesto del departamento, desglosados por áreas. Características de los equipos, número de ellos y contratos. III. Evaluación de la auditoría informática
73 10. Situación presupuestal y financiera Recursos materiales Programación (planeación de áreas). Adecuación (recursos son suficientes). Servicios generales. Mobiliario y equipo (si es el adecuado y como esta distribuido). III. Evaluación de la auditoría informática
74 Evaluación de sistemas Existen diversas formas por medio de las cuales las organizaciones pueden contar con el software necesario para cumplir con sus requerimientos, entre ellas se encuentran: 1.Elaborado por el usuario, o bien un software comercial 2.Software compartido o regalado 3.Software transportable 4.Un solo usuario o multiusuario 5.Categorización del software de aplicación por el usuario 6.Software a la medida de la oficina III. Evaluación de la auditoría informática
75 Evaluación de sistemas El proceso de planeación de sistemas deberá asegurarse de que todos los recursos requeridos estén claramente identificados en el plan de desarrollo de aplicaciones y datos. III. Evaluación de la auditoría informática
76 Equipo El impacto en el rendimiento de un sistema de computo debido a cambios trascendentales en el sistema operativo o en el equipo, puede ser determinado por medio de un paquete de pruebas (benchamark) que haya sido elaborado para este fin en la dirección de informática. III. Evaluación de la auditoría informática
77 Evaluación del proceso de datos y de los equipos de computo. Controles. III. Evaluación de la auditoría informática
78 Evaluación del proceso de datos y de los equipos de computo. III. Evaluación de la auditoría informática POLITICAS DE RESPALDO Los respaldos de la información deben realizarse mensual, semanal o diario. POLITICAS Y PROCEDIMIENTOS Las políticas existentes deben estar actualizadas en todas las actividades, estar debidamente documentadas y ser del conocimiento del personal. POLITICA DE REVISION DE BITACORA (SOPORTE TECNICO) Deben existir bitácoras de operación en las que se registren los procesos realizados,
79 Evaluación del proceso de datos y de los equipos de computo. III. Evaluación de la auditoría informática CONTROL DE LICENCIA DE SOFTWARE Todas las organizaciones deben tener un inventario de las licencias de software actualizado, que asegure que toda la paquetería. POLITICAS DE SEGURIDAD FISICA DEL AREA El acceso al área debe estar restringido por una puerta, la cual contara con una chapa adecuada de seguridad o con un dispositivo de control de acceso. CONTROL DE DATOS FUENTE Y MANEJO DE CIFRAS DE CONTROL. La mayoría de los delitos por computadora son cometidos por modificaciones de datos fuente
80 Las computadoras son un instrumento de que almacenan grandes cantidades de información para empresas, individuos o instituciones. En las cuales pueden ocurrir sabotajes, fraudes robos, etc. La seguridad del área informática tienen como objetivo: Motivos de delitos por computadora normalmente. Proteger la integridad, exactitud y confidencialidad de la información. Proteger los activos ante desastres provocados por el hombre y actos hostiles. Proteger la organización de situaciones externas como desastres naturales y sabotajes. En caso de desastres contar con los planes de contingencia para la recuperación. Contar con seguros que cubran las perdidas económicas en caso de desastres. Beneficio personal. Obtener un beneficio económico político o de poder en la org. Beneficio para la organización. Al cometer algún delito en otra computadora se ayudara al desempeño de la organización el la cual se trabaja. Síndrome de Robin Hood. Por beneficiar a otras personas. Jugando a jugar. por diversión o pasa tiempo. Fácil de desfalcar. El individuo tiene problemas financieros. Odio a la organización. por revancha, etc. Equivocación de ego. Deseos de sobresalir de alguna forma. III. Evaluación de la auditoría informática
81 Base de datos Es el conjunto de datos que guardan entre si una coherencia temática independiente del medio de almacenamiento. La cantidad de información que contiene un banco de datos suele ser muy grande, del orden de millones. III. Evaluación de la auditoría informática
82 Base de datos El DBMS (sistema de administración de base de datos es un conjunto de programas que permiten manejar cómodamente una base de datos). Dentro de las base de datos se debe evaluar: Independencia de datos Redundancia de datos Consistencia de datos III. Evaluación de la auditoría informática
83 Base de datos Los componentes a evaluar la base de datos: 1.Diccionario/directorio de datos 2.Lenguajes de datos 3.Monitoreo de teleproceso 4.Herramientas de desarrollo de aplicaciones 5.Software de seguridad 6.Sistemas de almacenamiento 7.Reporteadores III. Evaluación de la auditoría informática
84 4.1. Diseño y aplicación de instrumentos para recolectar la información necesaria de cada una de las áreas informáticas a auditar IV. Instrumentos para la recolección de información
85 ENTREVISTAS A USUARIOS Las entrevista se deberán llevar a cabo para comparar los datos proporcionados y la situación de la dirección de la información desde el punto de vista d usuarios. Su objeto es conocer la opinión que tienen los usuarios sobre los servicios proporcionados, así como la difusión de las aplicaciones de la computadora de los sistemas en operación. IV. Instrumentos para la recolección de información
86 ENTREVISTAS A USUARIOS El gerente debe de hacer del conocimiento de los entrevistados el propósito del estudio, una guía para la entrevista puede ser la siguiente. Prepárese para la entrevista estudiando los puestos de las personas que van a ser entrevistadas. IV. Instrumentos para la recolección de información
87 ENTREVISTAS A USUARIOS Preséntese y de un panorama del motivo de la entrevista comience con preguntas generales sobre las funciones, la organización y los métodos de trabajo. Siga los temas tratados en la entrevista. IV. Instrumentos para la recolección de información
88 ENTREVISTAS A USUARIOS Al final de la entrevista ofrezca un resumen de la información obtenida y pregunte como se le podrá dar seguimiento. IV. Instrumentos para la recolección de información
89 Cuestionario El diseño de un cuestionario debe tener una adecuada preparación, elaboración, algunas guías son: Identificar el grupo que va a ser evaluado. Escribir una introducción clara, para que el investigado conozca los objetivos del estudio y el uso que se la dará a la información. IV. Instrumentos para la recolección de información
90 Cuestionario Determine que datos deben ser recopilados. Limite el numero de preguntas para evitar que sea demasiado el tiempo de contestación. Diseñe e implemente un plan de recolección de datos. IV. Instrumentos para la recolección de información
91 Cuestionario Determine el método el análisis que será usado. Distribuya los cuestionarios y deles seguimiento para obtener las respuestas deseadas; así mismo analice los resultados. IV. Instrumentos para la recolección de información
92 Derechos de autor y secretos industriales Dentro del concepto de propiedad intelectual, uno de los aspectos mas importantes es el que se refiere a los derechos de autor, el cual involucra la parte mas importante del desarrollo intelectual de las personas ya que se refiere a las ramas literaria, científica, técnica, jurídica, musical, pictórica, escultórica, arquitectónica, etc. IV. Instrumentos para la recolección de información
93 Derechos de autor y secretos industriales Así como los programas de computo, las bases de datos, y los medios de comunicación entra las mas importantes, en general se admite que son cinco las razones de la protección: 1. Razón de justicia social: El autor debe obtener provecho de su trabajo. 2. Por una razón de desarrollo cultural: Si esta protegido el autor se vera estimulado para crear nuevas obras. IV. Instrumentos para la recolección de información
94 Derechos de autor y secretos industriales 1. Por una razón de orden económico: Las inversiones que son necesarias. 2. Por una razón de orden moral: Decidir si puede ser reproducida o ejecutado en publico. 3. Por una razón de prestigio nacional: El conjunto de las obras de los autores de un país refleja el alma de la nación y permite conocer mejor sus costumbres sus usos y sus aspiraciones. IV. Instrumentos para la recolección de información
95 1.LI, D.H (1990/2009). Auditoría en Centros de Cómputo (6o Reimpresión). Trillas. 2.Echenique, J.A. (2001). Auditoría en Informática (2o ed.). Mc Graw Hill. 3.Piattini, M.G. & Del peso, E. (2011). Auditoría Informática un Enfoque Práctico (2o ed.). Alfaomega. 4.Fernández Grajales, N. Importancia de la auditoría informática e n la s organizaciones. Entérate en línea. Internet Cómputo y Telecomunicaciones. Año 4. Núm. 43. Extraído el 20 de marzo de 2012 desde: http://www.enterate.unam.mx/Articulos/2005/octubre/auditoria.htmBibliografía