CARRERA DE FINANZAS Y AUDITORIA
Formar profesionales con espíritu emprendedor, social y
ambientalmente responsables con conocimientos y destrezas para dirigir la
administración contable y financiera, aplicando técnicas, instrumentos y
estrategias para, el control, manejo de inversiones, financiamiento, cobertura
de riesgos de acuerdo a la legislación y normas nacionales e internacionales
sobre la base de los valores éticos.
Ser reconocida a nivel nacional e internacional por la
excelencia en la formación de sus estudiantes en el campo de las Finanzas y
Auditoria y por la contribución en su área profesional.
ACTIVIDAD
Ejercicio en clase
ACTIVIDAD
DIAGRAMAS
DE SELECCI;ON DE PERSONAL
PARA RENDIR UN EXAMEN ATRASADO
METODOLOGÍA PARA REALIZAR UNA
AUDITORÍA INFORMÁTICA.
Fase I.- Estudio Preliminar,
Fase II.- Revisión y evaluación de controles y
seguridades
Fase III.- Examen detallado de áreas
críticas.
Fase IV.- Comunicación de resultados.
FASE I.-
ESTUDIO PRELIMINAR
En esta fase preliminar el estudio es corto en tiempo
y general en su investigación.
La auditoría
informática desarrolla actividades basado en un método de trabajo formal, que
sea entendido por los auditores en informática y complementado con técnicas y
herramientas propias.
Las metodologías: son necesarias para desarrollar cualquier
proyecto que se quiera hacer de forma ordenada y eficaz.
1.
Realizar el Estudio preliminar del entorno a auditar
2.
Identificar el Alcance y los Objetivos de la Auditoría
Informática (A.I.)
1 Etapa preliminar o diagnóstico
Realizar el
Estudio Preliminar del entorno a auditar. Las actividades del auditor en
informática deben quedar bien definidas en los componentes formales que
integran cualquier trabajo dentro de una organización. En esta fase, se
visualizan los primeros síntomas, los cuales posteriormente pueden ser los más
relevantes
El primer paso que tiene el auditor en informática
dentro de las empresas al efectuar un proyecto de auditoría en informática es hacer un diagnóstico del negocio, que
incluye a la alta dirección y las áreas usuarias.
Examinar situación general de
funciones y actividades generales de la informática
Conocimiento de:
–
Organización: Estructura organizativa del
Departamento de Informática a auditar
–
Entorno de Operación: Entorno de trabajo
–
Aplicaciones Informáticas: Procesos informáticos
realizados en la empresa auditada
•
Bases de Datos
•
Ficheros
Organización
Estructura organizativa del
Departamento de Informática a auditar.
Organigrama: estructura informática de la
organización a auditar
Departamentos: Describir sus funciones
Relaciones Jerárquicas y
funcionales
–
1 Empleado con dos Jefes
Flujos de Información, tanto
horizontales y verticales como extradepartamentales
Número de Puestos de Trabajo
– Nombres de los puestos de trabajo corresponden a
funciones distintas: Deficiencias en estructura si varios nombres con 1 función
Número de Personas por Puesto
de Trabajo
–
Distribución de recursos ineficiente
–
Necesidad de reorganización
Aquí el auditor se coordina directamente con el
responsable de la función de informática.
Estudio
Inicial: Entorno Operativo
Situación Geográfica
·
Diferentes CPDs, (Centros de Procesamientos de
Datos), con responsables
Arquitectura y Configuración Hardware y Software
·
Configuración de diferentes CPDs compatible y estén
intercomunicados
Inventario Hardware y Software
·
CPUs, procesadores, PCs, periféricos, etc.
·
Software básico, software interno y software
comprado
Comunicaciones y Redes de Comunicación
·
Líneas de Comunicación
·
Acceso a red pública e intranet
En esta parte el auditor conocerá la estructura
interna de informática, funciones, objetivos, estrategias, planes y políticas.
Estudio
Inicial: Aplicaciones Informáticas
Procedimientos Informáticos
realizados en la empresa
Volumen, Antigüedad y Complejidad
de las aplicaciones
·
Periodicidad de ejecuciones de carga de trabajo
Metodología de desarrollo de
aplicaciones
Documentación de aplicaciones
·
Mantenimiento es el 70% de recursos
Cantidad y Complejidad de Bases
de Datos y Ficheros
·
Tamaño y características de BD y Ficheros
·
Número de Accesos a BD y Ficheros
·
Frecuencia de Actualización
2. Identificar el Alcance y los Objetivos
de la Auditoría Informática (A.I.)
Alcance
Entorno y límites en que se
realizará la A.I.
HASTA DÓNDE SE LLEGA
Acuerdo por escrito (entre
auditor y cliente) cuando se incluyen áreas no informáticas o cuando la empresa
tiene varias sedes, de:
·
Funciones (Seguridad, Dirección, etc.)
·
Materias (S.O., BD, etc.)
·
Departamentos o Áreas Organizativas (Explotación,
Sistemas, Comunicaciones, etc.)
Su no definición pondrá en
peligro el éxito de la A.I.
Limitaciones: QUÉ DEJA DE
AUDITARSE
· Principalmente
en materias que pueden suponerse incluidas
Objetivos
Auditor debe comprender con
exactitud los deseos y pretensiones del cliente, para cumplir con los objetivos
Objetivos generales
Operatividad de los S.I.
–
Controles Generales de la Gestión Informática
–
Verificar normas del Departamento de Informática y
observar su consistencia con las del resto de la empresa
•
Normas Generales de la Instalación Informática
•
Procedimientos Generales y Específicos del
Departamento de Informática (p.e. una aplicación no pasa a Explotación sin su
correspondiente Documentación)
–
Comprobar que no existen contradicciones con normas
y procedimientos generales de la empresa
Interlocutores
–
Personas con poder de decisión y validación dentro
de la empresa
–
Personas a las que va dirigido el informe
Objetivos específicos
–
Necesidad de auditar una materia de gran
especialización
–
Contrastar algún informe interno con el que resulte
del externo
–
Evaluación del funcionamiento de áreas informáticas
en un determinado departamento
–
Aumentos de seguridad y fiabilidad
FASE II,
REVISIÓN Y EVALUACIÓN DE CONTROLES Y SEGURIDADES.
Abarca la revisión de los diferentes diagramas de flujo de procesos
como la realización de pruebas de cumplimiento de las seguridades informáticas
existentes, la revisión de aplicaciones de las áreas críticas, la revisión de procesos históricos (backups), la revisión de
documentación y archivos, entre otras actividades de importancia que nos
permitan tener una idea más clara del entorno.
Fase II: Evaluación de
Controles
Objetivos de la evaluación
• Verificar la existencia de los controles
requeridos
• Determinar la operatividad y suficiencia de
los controles existentes
Plan de
pruebas de los controles
• Incluye la selección del tipo de prueba a
realizar.
• Debe solicitarse al área respectiva, todos los
elementos necesarios de prueba.
CONTROLES
Conjunto de
disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las
empresas y para ello permite verificar si todo se realiza conforme a los
programas adoptados, órdenes impartidas y principios admitidos.
Los procedimientos de control: son los procedimientos
operativos de las distintas áreas de la empresa, obtenidos con una metodología
apropiada, para la consecución de uno o varios objetivos de control, cual deben
estar aprobados por la dirección.
Las herramientas de control: son los elementos software que
permiten definir uno o varios procedimientos de control para cumplir una
normativa y un objetivo de control.
La seguridad en la
informática abarca los conceptos de seguridad física y seguridad lógica.
La seguridad física
se refiere a la protección del Hardware y de los soportes de datos, así como a
la de los edificios e instalaciones que los albergan. Contempla las situaciones
de incendios, sabotajes, robos, catástrofes naturales, etc.
La seguridad lógica
se refiere a la seguridad de uso del software, a la protección de los datos,
procesos y programas, así como la del ordenado y autorizado acceso de los
usuarios a la información.
El sistema integral
de seguridad debe comprender:
• Elementos administrativos
• Definición de una política de seguridad
• Organización y división de
responsabilidades
• Seguridad física y contra catástrofes
(incendio, terremotos, etc.)
• Prácticas de seguridad del personal
• Elementos técnicos y procedimientos
• Sistemas de seguridad (de equipos y de
sistemas, incluyendo todos los elementos, tanto redes como terminales.
• Aplicación de los sistemas de seguridad,
incluyendo datos y archivos
• El papel de los auditores, tanto internos
como externos
• Planeación de programas de desastre y su
prueba.
La informática crea riesgos informáticos, los cuales pueden
causar grandes problemas en entidades, por lo cual hay que proteger y preservar
dichas entidades con un entramado de contramedidas, la calidad y la eficacia de
la mismas es el objetivo a evaluar para poder identificar así sus puntos
débiles y mejorarlos, esta es una función de los auditores informáticos. Una
contramedida nace de la composición de varios factores como:
Análisis de
plataformas
Se trata de en determinar la plataforma para la colocación
del producto más tarde.
Catálogos de
requerimientos previos de implantación
Es determinar el inventario de lo que se va a conseguir y lo
necesario para la implantación; acciones y proyectos, calendarizados, duración
y seguimiento.
Análisis de
aplicación
Se trata de inventariar las necesidades de desarrollo de
INTERFASES con el diferente software de seguridad de las aplicaciones y bases
de datos
