Metodología de la Auditoria Informática

Introducción

Como ya sabemos, para realizar un ¨Todo¨, se necesita de un método, de unas instrucciones o de un formato a seguir, un modelo del  cual se realiza un producto, por ello mismo, en esta actividad se presentarán la metodología de un Auditoria Informática, tanto su estructuración Fisica y Lógica,como su estructuración Cuantitativa y Cualitativa y describir ampliamente en qué consiste cada uno.

Actividad

Identificar las Metodologías

1.- Estructura Física 


La parte física en la informática ha tenido una importancia relativa y, además, esta ocupando un lugar en la mesa. En informática lo físico no solo se refiriere al hardware, es un soporte tangible del software, es decir, es todo cuanto rodea o incluye al ordenador.

La auditoria es el medio que proporciona la seguridad física en el ámbito en el que se va ha realizar la labor.

La auditoria física, interna o externa, no es sino una sola auditoria parcial, por lo que no difiere de la auditoria general más que en el alcance de la misma.

2.- Estructura Lógica


Consiste en verificar la exactitud de la información sobre los resultados que produce un sistema nuevo que sustituye a uno ya auditado, el procedimiento se hace sobre los mismos datos reales con los procedimientos actuales y con los procedimientos nuevos para luego comparar los resultados y detectar inconsistencia. 


Las técnicas de auditoría de sistemas para probar controles de aplicaciones en producción, se orientan básicamente a verificar cálculos en aplicaciones complejas, comprobar la exactitud del procesamiento en forma global y específica y verificar el cumplimiento de los controles pre-establecidos, de acuerdo con el manual correspondiente.


Entre este tipo de prueba se encuentra las siguientes:      
•        Método de datos de prueba.
•        Evaluación del sistema de caso base.
•        Operación paralela.
•        Facilidad de prueba integrada.
•        Simulación paralela.

Método de datos de prueba: esta técnica es utilizada normalmente por el analista-programador antes de enviar los programas a producción. Consiste en ingresar un conjunto de datos para que sean verificados a través del procesamiento del sistema, esto sirve para detectar la entrega de resultados inconsistentes o no válidos, analizando las posibles combinaciones de archivos maestros, valores y lógica de procesamiento.

Evaluación del sistema de caso base (ESCB): esta técnica también se utiliza para comprobar la lógica de los programas y precisión de cálculos pero con la cooperación de los usuarios, auditores y personal del sistema por esta razón se vuelve más completa que la técnica de datos de prueba. Se utiliza para validar los sistemas antes de entrar a producción y para la auditoria a aplicaciones en producción.

Operación paralela: esta técnica es utilizada para probar nuevos sistemas y verificar su exactitud. Consiste en probar los mismos datos entre el sistema actual y el nuevo, el sistema antiguo no se desecha hasta que el sistema nuevo dé los resultados esperados.

Facilidad de prueba integrada (ITF): es una técnica para probar los sistemas de aplicación en producción con datos reales evaluándolo en un ambiente normal de producción. Se procesan las transacciones de prueba en una entidad ficticia junto con las transacciones reales de producción. Por esta razón se llama prueba integrada.

Simulación en paralelo: esta técnica consiste en crear una rutina de uno o varios módulos del sistema a auditar. De esta forma las rutinas leen iguales datos de entrada que los programas de aplicación, utilizan los mismos archivos y tratan de producir idénticos resultados que se someten a evaluación y comparaciones para determinar discrepancia o errores.

3.- Estructura Cualitativa:

Las cualidades que definen a un auditor son:
  • *Ser imparcial, sincero y honesto.
  • *Ser discreto y comprender el concepto de confidencialidad.
  • *Mantener la mente abierta para considerar ideas y puntos de vista alternativos.
  • *Ser diplomático y tener tacto en el trato con las diferentes personas.
  • *Ser firme. Este es un punto a destacar importante, ya que durante la auditoría no debe negociar con el auditado sobre la inclusión o eliminación de una determinada no conformidad en el informe final ya que, de esta manera, se desvirtúa la eficacia que puede tener la auditoría. Es decir, aunque se actúe de forma responsable y ética, algunas decisiones tomadas por el auditor pueden no ser populares, pudiendo llegar a generar desacuerdos y confrontaciones que no deben llevar a la negociación para la aceptación del informe.
  • *Tener una alta capacidad de observación.
  • *Tener el instinto de ser consciente y comprender todas las situaciones.
  • *Adaptarse de forma fácil a los diferentes contextos, en otras palabras, ser versátil.
  • *Estar perfectamente orientado a conseguir el objetivo de la organización.
  • *Obtener conclusiones basadas en razonamientos lógicos y analizar las diferentes evidencias.
  • *Estar seguro de sí mismo.
  • *No tener prejuicios que limiten o eliminen su objetividad.

    4.- Estructura Cuantitativa:

  • El Auditor tendrá que presentar sus cualidades y actividades de manera gráfica, como en los siguientes ejemplos:
  • * Estudio preliminar: Incluye definir el grupo de trabajo, el programa de auditoria, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de política, reglamentos, Entrevistas con los principales funcionarios de la Organización y de la Departamento de Informática.

    * Revisión y evaluación de controles y seguridades: Consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas críticas, revisión de procesos históricos (backups), revisión de documentación y archivos, entre otras actividades.
    Examen detallado de áreas críticas: Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance y recursos que usará, definirá la metodología de trabajo, la duración de la auditoria, presentará el plan de trabajo y analizará detalladamente cada problema encontrado con todo lo anteriormente analizado.

    * Comunicación de resultados: Se elaborará el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentará esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditoria.
  • Conclusión

  • Una vez conocido la metodología que se utiliza para la estructuración de una Auditoria Informática, podemos entender más ampliamente lo que deriva de ellas, cómo están constituidas y bajo qué conceptos, por ello mismo, se puede considerar que el punto de esta actividad, ha sido completado exitosamente.





Comentarios

Entradas más populares de este blog

Auditando la Red Lógica

Roles de Administrador de la Red

Software para Auditoria de la Red