Metodologías de Auditoría Informática y Control Interno Universidad Técnica Nacional Bachillerato en Ingeniería de Software “Auditoría de Sistemas” Profesor: Wilmer Vindas Ávila. Estudiantes: - María José Sánchez Cerdas -Mónica Zamora Castro Fecha: 11/02/2013 Introducción La auditoría informática es sumamente importante ya que está conformado por una serie de especialistas que verifica el buen funcionamiento de los procesos de los sistemas, que sean eficientes, seguros y efectivos, además que cumplan con una normativa. Se brindan además una serie de recomendaciones o mejoras para aumentar la calidad. En este documento se les informará las dos metodologías que existen en la auditoría informática y el plan de un auditor informático. Además, se especifica la diferencia existente entre la Auditoría Informática y el Control Interno Informático, las diversas metodologías y procedimientos que realiza el control interno y sus herramientas. Metodologías de Auditoría Informática - Auditoría Informática: Certifica la integridad de los datos informáticos que usan los auditores financieros para que puedan utilizar los sistemas de información. - Auditoría Financiera: Examina los estados financieros que generalmente utiliza herramientas de Software de ayuda. Las metodologías de auditoría informática son del tipo cualitativo/subjetivo. Existen dos metodologías de Auditoria Informática: Auditorias de Controles Generales y Metodologías de Auditores Internos Auditorías de Controles Generales: Dan una opinión sobre la habilidad de los datos del computador para la Auditoria financiera, cuyo resultado es un informe donde se destacan las vulnerabilidades encontradas. Auditorías Internas: Esta formada por recomendaciones de Plan de trabajo; deberá realizar cuestionarios y definir cuantas pruebas estime oportunas; además debe crear sus metodologías necesarias para auditar áreas o aspectos que defina en el plan auditor. Plan Auditor Informático - Funciones - Procedimientos para las distintas tareas de las auditorias - Tipos de auditoria - Sistema de evaluación - Nivel de exposición - Lista de distribución de informes - Seguimiento de acciones correctoras - Plan quincenal - Plan de trabajo anual Control Interno Informático Como principales objetivos del Control Interno Informático, podemos indicar los siguientes: Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. Asesorar sobre el conocimiento de las normas. Colaborar y apoyar el trabajo de Auditoría Informática, así como de las auditorías externas al grupo. Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informático, lo cual no debe considerarse como que la implantación de los mecanismos de medida y la responsabilidad del logro de esos niveles se ubique exclusivamente en la función de Control Interno, sino que cada responsable de objetivos y recursos es responsable de esos niveles, así como de la implantación de los medios de medidas adecuadas. Diferencias Control Interno –Auditoria Informática. Las diferencias entre las funciones del control interno informático y las de la auditoría informática son: área informática monta los procesos informáticos seguros. control interno monta los controles. auditoría informática evalúa el grado de control. El objetivo es de que exista una “actuación segura” entre los usuarios, la informática y control interno. Todos ellos auditados por auditoria informática. El “plan de Seguridad Informática” tiene 2 proyectos de vital importancia “clasificación de la información” (B) y “procedimientos de control “(C) Metodología de clasificación de la información • Identificar contramedidas: para distintas entidades de información con el fin de optimizar la eficiencia de las contramedidas y reducir los costos. • Entidad de información: proteger el entorno informático, especializando las contramedidas según el nivel de confidencialidad o importancia que tengan. • Metodología del tipo cualitativo/subjetivo y preservación: - Estratégica (muy confidencial, muy restringida) - Restringida (a los propietarios de la información) - De uso interno (a todos los empleados) - De uso general (sin restricción) Procesos 1. Identificación de la información 2. Inventario de entidades de información residente y operativa 3. Identificación de propietarios 4. Definición de jerarquías de información 5. Definición de la matriz de clasificación 6. Confección de la matriz de clasificación 7. Realización del plan de acciones 8. Implantación y mantenimiento Metodología de obtención de los procedimientos de control Fase 1: Definición de objetivos de control: - Tarea 1: Análisis de la empresa - Tarea 2: Recopilación de estándares - Tarea 3: Definición de los objetivos de control Fase 2: Definición de los controles: - Tarea 1: Definición de los controles - Tarea 2: Definición de necesidades tecnológicas - Tarea 3: Definición de los procedimientos de control - Tarea 4: Definición de las necesidades de recursos humanos Fase 3: Implantación de los controles: - Procedimientos propios de control de la actividad informática - Procedimiento de distintas áreas usuarias de la informática, mejorados - Procedimientos de áreas informáticas mejorados - Procedimiento de control dual entre control interno informática y el área informática, los usuarios informáticos y el área de control no informático. Las herramientas de control Las herramientas de control (software) más comunes son: - Seguridad lógica del sistema - Seguridad lógica complementaria al sistema - Seguridad lógica para entornos distribuidos. Control de acceso físico - Control de copias - Gestión de soportes magnéticos - Gestión y control de impresión y envíos de listados por red. - Control de proyectos - Control de versiones - Control y gestión de incidencias - Control de cambios Conclusión Hemos aprendido que la metodología es una secuencia de pasos ordenada de proceder para llegar a un resultado. Generalmente existen diversas formas de obtener un resultado determinado, y de esto se deriva la existencia de varias metodologías para llevar a cabo una auditoria informática. El conocimiento adquirido de control interno y aquellos controles que se usan para llevar acabo la ejecución de mecanismos, así mismo la importancia que estos poseen para llevar acabo con sus funciones fueron de gran interés de estudio durante este trabajo de investigación. Referencias Electrónicas Sobrinos Sánchez, José Roberto (19 de mayo 1999). Planificación y Gestión de Sistemas de la Información (Edición 2). [En línea].Recuperado el 10/02/2013, de http://es.scribd.com/doc/50029562/3/Las-metodologias-de-auditoria-informatica Universidad Técnica Nacional, Alajuela, Central. Metodologías de Auditoría Informática. (10 de febrero del 2013), del sitio Web de Universidad Técnica Nacional http://central.utn.ac.cr/foro/weblogs/upload/4/METODOLOGIAS_DE_AUDITORIA_ INFORMATICA89_pdf1074127557.pdf