Organización del Departamento de Auditoria Informática

Organización del Departamento
de Auditoria Informática
ESTEBAN VARGAS
STEVEN AGUILAR
JORGE ALFARO
Función de la Auditoria Informática
 Las principales funciones de la auditoría de sistemas
son:



Controlar y verificar todos los estándares informáticos que
aplica la organización.
Analizar la eficiencia y eficacia de los Sistemas de
Información organizacionales.
Examinar el uso adecuado de los recursos informáticos de la
organización.
Funciones a Desarrollar por la Auditoria
Informática
 Entre las principales funciones de la auditoria informática podemos
encontrar:






Elaborar un plan de auditoria en informática en los plazos determinados por el
responsable de la función.
Desarrollar la auditoría en informática conforme normas y políticas
estandarizadas a nivel nacional e internacional.
Evaluar las áreas de riesgo de la función de informática y justificar su evaluación
con la alta dirección del negocio.
Evaluación, verificación e implantación oportuna de los controles y
procedimientos que se requieren para el aseguramiento del buen uso y
aprovechamiento de la informática.
Aseguramiento permanente de la existencia y cumplimiento de los controles y
procedimientos que regulan las actividades y utilización de los recursos de
informática de acuerdo con las políticas de la organización.
Administrar y ejecutar de manera eficiente los proyectos contemplados en el plan
de la auditoría en informática.
Clases y Tipos
 Auditoria Informática de Explotación
 La Explotación Informática se ocupa de producir resultados
informáticas de todo tipo: listados impresos, archivos
magnéticos para otros informáticos, órdenes automatizadas
para lanzar o modificar procesos industriales, etc. Para realizar
la Explotación informática se dispone de materia prima los
Datos, que es necesario transformar, y que se someten
previamente a controles de integridad y calidad. La
transformación se realiza por medio del Proceso Informático,
el cual está dirigido por programas. Obtenido el producto final,
los resultados son sometidos a controles de calidad, y
finalmente son distribuidos al cliente, al usuario. En ocasiones,
el propio cliente realiza funciones de reelaboración del
producto terminado.
Clases y Tipos
 Auditoria Informática de Sistemas
 Se ocupa de analizar la actividad propia de lo que se conoce
como "Técnica de Sistemas" en todas sus facetas. En la
actualidad, la importancia creciente de las telecomunicaciones
ha propiciado que las Comunicaciones, Líneas y Redes de las
instalaciones informáticas, se auditen por separado, aunque
formen parte del entorno general de "Sistemas".
Clases y Tipos
 Auditoria Informática de Comunicaciones y
Redes

Como en otros casos, la Auditoria de este sector requiere un
equipo de especialistas, expertos simultáneamente en
Comunicaciones y en Redes Locales. No debe olvidarse que en
entornos geográficos reducidos, algunas empresas optan por el
uso interno de Redes Locales, diseñadas y cableadas con
recursos propios. El entorno del Online tiene una especial
relevancia en la Auditoria Informática debido al alto
presupuesto anual que los alquileres de líneas significan.
Clases y Tipos
 Auditoria de Seguridad Informática
 La seguridad en la informática abarca los conceptos de
seguridad física y seguridad lógica. La Seguridad física se
refiere a la protección del Hardware y de los soportes de datos,
así como los edificios e instalaciones que los albergan.
Contempla las situaciones de incendios, sabotajes, robos,
catástrofes naturales, etc. Igualmente, a este ámbito pertenece
la política de Seguros. La seguridad lógica se refiere a la
seguridad de uso del software, a la protección de los datos,
procesos y programas, así como la del ordenado y autorizado
acceso de los usuarios a la información.
Perfiles del Auditor Informático
 El auditor de informática es aquella persona que
tiene como mínimo conocimientos básicos en las
áreas de:









Gestión Empresarial
Gestión de Proyectos
Gestión Tecnológica
Tecnología Informática
Tecnología ofimática y Telemática
Bases de Datos
Ingeniería de Software
Seguridad Informática
Sistemas de Información
Cualidades del Auditor Informático







Pericia en los diferentes procesos informáticos
Astucia para identificar fácilmente aspectos que son claves
para encontrar inconsistencias en los procesos auditados.
Creatividad para realizar sus funciones
Inteligencia para la adecuada toma de decisiones
Organización para controlar paso a paso el proceso a ser
auditado
Confidencialidad para no dar a conocer a quien no se debe, sus
hallazgos
Honestidad para desempeñar a cabalidad sus funciones.
Funciones Principales del Auditor
Informático



Controlar y verificar el cumplimiento de los estándares
informáticos que aplica la organización.
Verificar y examinar la eficiencia y eficacia de los Sistemas de
Información en cualquier etapa de los mismos.
Examinar el uso adecuado de los recursos informáticos de la
organización.
Organización de la Función de Auditoria
Informática
 Jefe Del departamento:
 Desarrolla
el plan operativo del departamento, las
descripciones de puestos de trabajo, las planificaciones de
actuación a un año, los métodos de gestión del cambio en su
función y los programas de formación individualizados,
gestiona los programas de trabajo, los cambios en los métodos
de trabajo, evalúa la capacidad de las personas a su cargo.
Organización de la Función de Auditoria
Informática
 Gerente o supervisor de auditoría
informática:





Trabaja estrechamente con el Jefe de departamento en las
tareas operativas diarias.
Ayuda en la evaluación del riesgo de cada uno de los trabajos,
realiza programas de trabajo, dirige y supervisa directamente a
las personas en cada de los trabajos de los que es responsable.
Realiza formación sobre el trabajo
Apoya la jefatura de la obtención del mejor resultado,
entroncando los conceptos de valor añadido y gestión del
cambio.
Es el que más vende la función con el auditado.
Organización de la Función de Auditoria
Informática
 Auditor Informático:
 Son responsables de la ejecución directa del trabajo.
 Deben tener una especialización genérica, pero también una
específica.
 Debe obtener la información , realzar las pruebas,
documentación del trabajo, evaluación y diagnóstico de
resultados