0 Bewertungen0% fanden dieses Dokument nützlich (0 Abstimmungen)
153 Ansichten23 Seiten
Este documento presenta una introducción al curso de Auditoría de Sistemas. Resume la definición de auditoría de sistemas, los objetivos generales y la necesidad e importancia de realizar auditorías de sistemas. También describe los controles físicos y lógicos que se auditan, así como el perfil del auditor de sistemas y las normas básicas que debe seguir.
Este documento presenta una introducción al curso de Auditoría de Sistemas. Resume la definición de auditoría de sistemas, los objetivos generales y la necesidad e importancia de realizar auditorías de sistemas. También describe los controles físicos y lógicos que se auditan, así como el perfil del auditor de sistemas y las normas básicas que debe seguir.
Este documento presenta una introducción al curso de Auditoría de Sistemas. Resume la definición de auditoría de sistemas, los objetivos generales y la necesidad e importancia de realizar auditorías de sistemas. También describe los controles físicos y lógicos que se auditan, así como el perfil del auditor de sistemas y las normas básicas que debe seguir.
I. DEFINICIN II. OBJETIVOS III. LA NECECIDAD E IMPORTANCIA DE LA AUDITORIA FINANCIERA 3.1. Necesidad 3.2. Importancia
IV. CONTROLES 4.1. Clasificacin general de los controles 4.2. Principales controles fsicos 4.3. Controles automticos o lgicos
V. PERFIL DEL AUDITOR DE SISTEMAS Y NORMAS BSICAS DE APLICACIN VI. RIESGOS Y MATERIALIDAD DE LA AUDITORIA DE SISTEMAS VII. HERRAMIENTAS DE SOPORTE VIII. MANUAL DE AUDITORIA DE SISTEMAS
I. DEFINICION AUDITORA DE SISTEMAS ES: La verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia. La actividad dirigida a verificar y juzgar informacin. El examen y evaluacin de los procesos del rea de Procesamiento automtico de Datos (PAD) y de la utilizacin de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economa de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.
II. OBJETIVOS: Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa. Garantizar la seleccin adecuada de equipos y sistemas de computacin Asegurar la elaboracin de un plan de actividades previo a la instalacin. Objetivos Generales de una Auditora de Sistemas Buscar una mejor relacin costo-beneficio de los sistemas automticos o computarizados diseados e implantados por el PAD Incrementar la satisfaccin de los usuarios de los sistemas computarizados Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles. Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. Seguridad de personal, datos, hardware, software e instalaciones Apoyo de funcin informtica a las metas y objetivos de la organizacin Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico Minimizar existencias de riesgos en el uso de Tecnologa de informacin Decisiones de inversin y gastos innecesarios Capacitacin y educacin sobre controles en los Sistemas de Informacin
III. CUL ES LA NECESIDAD E IMPORTANCIA DE LA AUDITORA DE SISTEMAS?
3.1. NECESIDAD Es necesaria ya que examina y evala los procesos del rea de Procesamiento automtico de Datos (PAD) y de la utilizacin de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economa de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones a la gerencia con el propsito de corregir las deficiencias 3.2. IMPORTANCIA Es importante ya que est encargada de llevar a cabo la evaluacin de normas, controles, tcnicas y procedimientos establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la informacin que es procesada a travs de los sistemas de tecnologa de la informacin. J ustificativos para efectuar una Auditora de Sistemas Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos) Desconocimiento en el nivel directivo de la situacin informtica de la empresa Falta total o parcial de seguridades lgicas y fsicas que garanticen la integridad del personal, equipos e informacin. Descubrimiento de fraudes efectuados con el computador Falta de una planificacin informtica Organizacin que no funciona correctamente, falta de polticas, objetivos, normas, metodologa, asignacin de tareas y adecuada administracin del Recurso Humano Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados Falta de documentacin o documentacin incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en produccin IV. CONTROLES Conjunto de disposiciones metdicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, rdenes impartidas y principios admitidos. 4.1. Clasificacin general de los controles 1. Controles Preventivos Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones. Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones Sistemas de claves de acceso.
2. Controles detectores Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los ms importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. Ejemplo: Archivos y procesos que sirvan como pistas de auditora Procedimientos de validacin
3. Controles Correctivos Ayudan a la investigacin y correccin de las causas del riesgo. La correccin adecuada puede resultar dificil e ineficiente, siendo necesaria la implantacin de controles detectivos sobre los controles correctivos, debido a que la correccin de errores es en si una actividad altamente propensa a errores.
4.2. Principales Controles fsicos y lgicos Controles particulares tanto en la parte fisica como en la lgica se detallan a continuacin. Autenticidad: Permiten verificar la identidad Passwords Firmas digitales
Exactitud: Aseguran la coherencia de los datos Validacin de campos Validacin de excesos
Totalidad: Evitan la omisin de registros as como garantizan la conclusin de un proceso de envi Conteo de regitros Cifras de control
Redundancia: Evitan la duplicidad de datos Cancelacin de lotes Verificacin de secuencias
Privacidad: Aseguran la proteccin de los datos Compactacin Encriptacin
Existencia: Aseguran la disponibilidad de los datos Bitcora de estados Mantenimiento de activos
Proteccin de Activos: Destruccin o corrupcin de informacin o del hardware. Extintores Passwords
Efectividad: Aseguran el logro de los objetivos Encuestas de satisfaccin Medicin de niveles de servicio
Eficiencia: Aseguran el uso ptimo de los recursos Programas monitores Anlisis costo-beneficio
4.3. Controles automticos o lgicos 4.3.1. Periodicidad de cambio de claves de acceso Los cambios de las claves de acceso a los programas se deben realizar peridicamente. Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente. El no cambiar las claves peridicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computacin. Por lo tanto se recomienda cambiar claves por lo menos trimestralmente. 4.3.2. Verificacin de datos de entrada Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisin; tal es el caso de la validacin del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango. 4.3.3. Controles administrativos en un ambiente de Procesamiento de Datos
La mxima autoridad del rea de Informtica de una empresa o institucin debe implantar los siguientes controles que se agruparan de la siguiente forma: 1.- Controles de Preinstalacin 2.- Controles de Organizacin y Planificacin 3.- Controles de Sistemas en Desarrollo y Produccin 4.- Controles de Procesamiento 5.- Controles de Operacin 6.- Controles de uso de Microcomputadores
V. PERFIL DEL AUDITOR DE SISTEMAS Y NORMAS BSICAS DE APLICACIN Cada empresa tiene establecido los criterios, condiciones y obligaciones que deben ser respetados por el personal que labora en ella, esto obedece a que son aspectos vigentes que regulan la actuacin de quienes administran la empresa, por tanto, es compromiso del auditor apegarse a las normas o polticas establecidas, sean estas internas o externas en el ejercicio del servicio profesional, auditoria de sistemas debe exigir el cumplimiento de normas bsicas o principios generales aceptados. En cualquier mbito laboral existen necesidades que cumplir, el primer requisito que debe poseer quien se dedica a esta profesin, es estar totalmente libre de cualquier tipo de influencia; es decir debe ser autnomo en su actuacin y no permitir ningn tipo de injerencia, ya sea de cualquier carcter, sean estas: laborales, morales, conducta, independencia y conocimiento profesional. El segundo requisito son los conocimientos informticos que se debe tener, con un amplio cumulo de nociones en reas vinculadas al trabajo, mtodos, herramientas y tcnicas de auditoria a fin de que pueda realizar sus tareas con eficiencia y eficacia. Sin embargo, este debe poseer otras caractersticas personales que son representativas del au7ditor tales como: honradez, valores, confianza, tenacidad, capacidad analtica, en ese contexto tambin lo ideal es la experiencia profesional para el buen desempeo del trabajo dentro de la Organizacin. As mismo debe el auditor de sistemas manejar otros factores que constituyen y se encuentran ligados a su profesin, tales como: a) El auditor debe de aprender a manejar adecuadamente las relaciones personales, profesionales y laborales entre l y el auditado. b) Como profesional de auditoria debe utilizar la misma metodologa, procedimientos, herramientas y tcnicas que se hayan establecido para la revisin de las reas. c) Los resultados que obtiene el auditor forman evidencias en las que se respalda, para emitir el dictamen. d) Es obligacin profesional, moral y personal del auditor respetar la confidencialidad de dicha informacin y no divulgarla. e) Mantener y aplicar la equidad, en virtud que trata de igualar la justicia, ponderacin y emisin de juicios: la imparcialidad que evita las preferencias injustas y la razonabilidad que es la capacidad del individuo para emitir un juicio. La sociedad misma identifica una serie de aspectos fundamentales que debe de tener el profesional dedicado a la auditoria, a fin de que identifique y cumpla con los principios y valores del auditor, citando algunos de ellos:
A. INDEPENDENCIA.- La independencia supone una actitud mental que permite al auditor actuar con libertad respecto a su juicio profesional, para lo cual debe encontrarse libre de cualquier predisposicin que limite su imparcialidad en la consideracin objetiva de los hechos, as como en la formulacin de sus conclusiones.
Para ser independiente, el auditor no debe tener intereses ajenos a los profesionales, ni estar sujeto a influencias susceptibles de comprometer tanto la solucin objetiva de los asuntos que le son sometidos, como la libertad de expresar su opinin profesional.
B. INTEGRIDAD.- La integridad debe entenderse como la rectitud intachable en el ejercicio profesional, que le obliga a ser honesto y sincero en la realizacin de su trabajo y en la emisin de su informe. En consecuencia, todas y cada una de las funciones que realice han de estar regidas por una honradez profesional irreprochable.
C. OBJETIVIDAD.- La objetividad implica el mantenimiento de una actitud imparcial en todas las funciones del auditor. Para ello, debe gozar de una total independencia en sus relaciones con la entidad auditada. Debe ser justo y no permitir ningn tipo de influencia o prejuicio.
D. COMPETENCIA PROFESIONAL.- Es la obligacin de mantener su nivel de competencia a lo largo de toda su carrera profesional, as como de mantener sus conocimientos y sus habilidades a un nivel adecuado para asegurar que la evaluacin ser la adecuada.
E. CONFIDENCIALIDAD.- El auditor deber respetar la confidencialidad con respecto a la informacin que rena en el desarrollo de su trabajo y no deber revelar ninguna informacin a terceros sin la autorizacin especfica, a menos que tenga el derecho o la obligacin profesional o legal de hacerlo. Tambin tiene la obligacin de garantizar que el personal bajo su control respete finalmente el principio de la confidencialidad.
El principio de confidencialidad es ms amplio que la reve3lacion de la informacin; incluye el hecho de que un auditor que obtenga informacin en el curso de la prestacin de sus servicios, no debera usarla para su beneficio personal o para terceros.
F. RESPONSABILIDAD.- Se mantiene como responsabilidad el hecho de aceptar el compromiso que implica la toma de decisiones y las consecuencias previstas por las acciones y omisiones en el cumplimiento del trabajo.
G. CONDUCTA PROFESIONAL.- Actuar de acuerdo con la buena reputacin de la profesin y evitar cualquier conducta que pueda desacreditarla. Esto requiere que las normas de tica tengan en cuenta las responsabilidades profesionales.
H. NORMAS TECNICAS.- El auditor deber conducir una auditoria conforme las Normas y Polticas, locales o internacionales. Estas debern contener principios bsicos y procedimientos esenciales junto con lineamientos relativos y asociados a las funciones del auditor. I. Los elementos referenciados con anterioridad se encuentran integrados en normas llamadas cdigo de tica, aplicadas para el auditor de sistemas, siendo estos utilizados y difundidos por instituciones nacionales e internacionales.
VI. RIESGOS Y MATERIALIDAD DE LA AUDITORIA DE SISTEMAS Se pueden definir los riesgos de auditoria como aquellos riesgos en que la informacin pueda tener errores materiales o que el auditor de TI no pueda detectar un error que ha ocurrido. Los riesgos en auditoria pueden clasificarse de la siguiente manera: Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer. Riesgo de control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de deteccin: Es el riesgo en que el auditor realiza pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusin de que no existen errores materiales cuando en realidad existen. La palabra material utilizada con cada uno de estos componentes o riesgos, se refiere a un error que debe considerarse significativo cuando se lleva a cabo una auditoria. En una auditoria de TI, la definicin de riesgos materiales depende del tamao o importancia del ente auditado, as como de otros factores. Una auditoria tal vez no detecte cada uno de los potenciales errores en el universo. Pero, si cuando el tamao de la muestra es lo suficientemente grande, o se utiliza procedimientos estadsticos adecuados se llega a minimizar la probabilidad del riesgo de detencin. De manera similar al evaluar los controles internos, el auditor de TI debe percibir que en un sistema dado, se puede detectar un error mnimo, pero ese error combinado con otros, puede convertirse en un error material para todo el sistema. Aunque siempre debe prevalecer el deber del secreto profesional del auditor, conviene recordar que en el caso de detectar el fraude durante el proceso de auditoria procede actuar en consecuencia con la debida prudencia que aconseja, sobre todo si afecta a los administradores de la organizacin. Ante un caso as, conviene consultar con la Alta Administracin o el Comit creado para tal fin, as mismo con el asesor jurdico, e identificar leyes afines para tal efecto, por ejemplo: Cdigo Penal, Cdigo Civil, Cdigo de Comercio, Ley de Propiedad Intelectual y otras disposiciones. Al determinar que reas funcionales o temas de auditoras debe auditarse, el au7ditor puede enfrentarse ante una gran variedad de temas, por ellos debe evaluar esos riesgos y determinar cules de esas reas de alto riesgo deben ser auditadas.
EVIDENCIA La evidencia es la base razonable de la opinin del Auditor de TI, esto es parte complementaria del informe, la evidencia tiene una serie de calificativos: La evidencia relevante, que tiene una relacin lgica con los objetivos de la Auditoria. La evidencia fiable, que es vlida y objetiva, aunque con nivel de confianza. La evidencia suficiente, que es de tipo cuantitativo para soportar la opinin profesional del auditor. La evidencia adecuada, que es de tipo cualitativo para afectar a las conclusiones del auditor.
VII. HERRAMIENTAS DE SOPORTE
7.1 SOFTWARE PARA AUDITORA El auditor de sistemas puede auxiliarse con herramientas alternas que existen en el medio creadas para dicho fin, por ejemplo: para evaluar las Bases de Datos, estas permiten medir la consistencia, coherencia y calidad de los datos, para evaluar redes; estas permiten monitorear la seguridad y la continuidad del servicio. Al respecto podemos mencionar algunas de ellas:
A) ACL ACL es un software para la solucin de auditora y anlisis de datos, siendo su significado Lenguaje de Control para Auditora, es un producto reconocido en el mundo por su excepcional servicio y soporte tcnico, siendo un valor agregado para las empresas por sus ventajas de generacin de reportes que se almacenan como papeles de trabajo. El software es un producto eficiente segn las caractersticas siguientes: Funcionalidad incorporada para; auditar y analizar datos mediante poderosos comandos tales como: estratificar, muestreo y duplicados. Facilidad para el anlisis interactivo; aplicando cualquier metodologa de auditora, analizando sus datos de forma que los resultados son inmediatos no importando la cantidad de registros que contenga el archivo, por su manejo de alta capacidad y velocidad en el proceso. Facilidad de uso; su interfaz amigable que incluye facilidades como: mens, barras de herramientas y comandos. Anlisis universal de datos; una vez que se accede los datos, ACL los puede leer en su formato nativo, utilizando un solo producto en una herramienta para leer cualquier plataforma tecnolgica, incluyendo bases de datos que cumplan con las especificaciones de ODBC, archivos de longitud variable, archivos de texto y muchos mas. Procesamiento de varios archivos; trabaja simultneamente con varios archivos, para hacer anlisis y reportes mas complejos. Identifica tendencias y seala excepciones y reas que requieren atencin. Localiza errores y posibles irregularidades, comprobando y analizando los datos segn los criterios del auditor. Verifica integridad de datos en los archivos. Emite clculos estadsticos y analticos para realizar proyecciones. Despliegue de Grficos de Barra
B) IDEA
Datos Interactivos Extraccin y Anlisis (IDEA) es una herramienta para auditores, contadores y administradores financieros que necesitan auditar, revisar, analizar, extraer y evaluar informacin contenida en sistemas, base de datos y cualquier archivo electrnico. Este software permite la ejecucin de procesos como consultas a archivos de datos, calcular totales o promedios, encontrar cuantas transacciones o registros cumplen un criterio dado o buscar campos inusuales. La interfaz del software est orientada hacia los usuarios finales, de manera que su uso y aplicacin resulta amigable con el usuario, el software presenta algunas caractersticas:
Anlisis de informacin: IDEA permite realizar una serie de funciones de anlisis sobre los datos extrados, mejorando la confianza y la exactitud de la informacin utilizada por el auditor. Ordenamiento de registros: IDEA permite ordenar registros. Grficos de barra: permite visualizar de modo grfico la informacin que est analizando. Estadsticas de un campo: muestra una variedad de informacin estadstica de un campo numrico y puede actuar hasta para 32 campos simultneamente. Comparacin de dos archivos: permite comparar dos archivos similares e identificar eventuales diferencias entre ambos. Deteccin de errores de secuencia: permite detectar errores de secuencia en un archivo, como por ejemplo en un archivo de cheques emitidos. Deteccin de duplicadas: permite detectar campos duplicados que deberan ser nicos.
C) TEAM-MATE
Es un software que dispone de un sistema administrador de usuarios de la Base de Datos, de manera que cada usuario tiene diferentes niveles de acceso. Est diseado para ser utilizado por todos los sectores, comerciales, industriales, financiero; as como para todo tipo de auditora, como financiera, de cumplimiento, procedimientos, operacionales, investigaciones y auditora de TI, dispone de integrar el programa de auditora con las observaciones o comentarios afines para luego poderlo relacionar al papel de trabajo no importando su formato, el o le permite la flexibilidad y manejo operativo del mismo. Tambin dispone de mdulo de evaluacin de riesgos, basada en la metodologa ORCA (Objetivos, Riesgos, Controles y Alineacin), esta enfocada en cmo una organizacin, unidad de negocio, proceso de negocio o individuo define y prioriza sus estrategias y objetivos. Tambin dispone de Team Risk el cual permite la evaluacin de riesgos determinando el universo de riesgo con objetivos y controles que pueden ser editados durante el proceso de evaluacin.
D) MAGERIT
Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin de las administraciones Pblicas (MAGERIT). Est compuesto por: Aproximacin a la seguridad de los Sistemas de Informacin, Procedimientos, Tcnicas, Desarrolladores de aplicaciones, Responsables del Dominio, Legales y Tcnicas. El modelo normativo de MAGERIT se apoya en tres sub modelos: Componentes, Eventos y Procesos, la metodologa permite estudiar los riesgos que soporta un sistema de informacin y el entorno asociado a l, por el o propone la realizacin de un anlisis de los riesgos que implica la evaluacin del impacto que una falta en la seguridad que tiene la organizacin; seala los riesgos existentes, identificando las amenazas que acechan al sistema de informacin, y determina la vulnerabilidad del sistema de prevencin de dichas amenazas, obteniendo unos resultados. Los Criterios de Seguridad de normalizacin y conservacin recogen los requisitos y recomendaciones relativos a la implantacin de las medidas de seguridad organizativa y tcnica para asegurar la autenticidad, confidencialidad, integridad, disponibilidad y conservacin de la informacin en el diseo, desarrol o, implantacin y explotacin de las aplicaciones que la Administracin General del Estado utiliza para el ejercicio de sus potestades. Estos criterios pueden ser, por tanto, complemento de MAGERIT para la identificacin y seleccin de funciones y mecanismos de salvaguarda.
7.2. SOFTWARE DE MONITOREO PARA REDES La seguridad se hace posible con el desarrollo de negocios a travs de Internet y debe ser un componente fundamental de cualquier estrategia de comercio electrnico. A medida que las empresas abren sus redes a ms usuarios y aplicaciones, las exponen a mayores riesgos. Por el o las organizaciones o personas que comparten informacin y que ingresan con sus equipos a una red por cualquier clase de motivo, es prcticamente imprescindible usar algn Corta Fuego (Firewal ) y de herramientas que le permitan monitorear la red, sobre todo s comparte archivos a travs de Internet, utiliza un servidor Web, utiliza algn tipo de herramienta de control remoto como PC Anywhere, Laplink o Servicios de Terminal de Microsoft o desea estar protegido ante ataques de denegacin de servicio (DoS) o intrusiones. Al respecto presentamos a manera de ejemplos algn software que pueden servir de soporte para ejercer auditora en las redes de comunicaciones:
VIII. . MANUAL DE AUDITORIA El Manual de Auditora de Sistemas para la Evaluacin de la Tecnologa de Informacin, conocido como MASTI.
A. OBJETIVO DEL MANUAL Proveer a los auditores tecnolgicos lineamientos para la realizacin de una auditora de gestin a las tecnologas de informacin y comunicaciones que coadyuven a la buena gestin de la disponibilidad de los servicios sistematizados prestado a la poblacin en general, con el uso de la tecnologa proporcionando seguridad, disponibilidad, confiabilidad y oportunidad de la informacin procesada y resguardada dentro de la entidad.
B. COMPOSICION DEL MASTI
El Manual de Auditora de Sistemas para la Evaluacin de la Tecnologa de Informacin, conocido como MASTI, agrupa las siguientes divisiones:
Planificacin y Organizacin: Comprende las decisiones estratgicas y planes operativos definidos por la Administracin, esto incluye el entorno organizacional, elementos que contribuirn al logro de los objetivos planeados por la Entidad.
Plataforma Tecnolgica: La prctica de las estrategias definidas por la Organizacin, obligan a la directriz responsable de TI a cumplir bajo soluciones integrales y tecnolgicas, proporcionar un mejor servicio ante el crecimiento y demanda que la institucin requiere, todo el o con la finalidad de hacer posible la continuidad de las operaciones, descargando su confianza en los sistemas informticos.
Soporte: El mantenimiento, control y seguridad son factores a considerar como complemento de los procesos de TI debido a que deben ser evaluados regularmente, tanto en calidad como cumplimiento, ya que es parte fundamental para la continuidad del servicio.
Subcontratacin. Un acuerdo de subcontratacin es aquel que se establece entre una entidad y un proveedor de servicios, en el que este ltimo realiza una actividad, funcin, proceso o administra los recursos de TI del negocio solicitante. Las razones para que una empresa requiera de subcontratacin estn en funcin del alcance, naturaleza, ubicacin, proveedor, calidad, recursos, oportunidad, servicios, etc.
C. APLICACIN DE MASTI Los programas de auditora podran l egar a aparentar la facilidad de su aplicacin, sin embargo, podemos decir que no es una actividad plenamente mecnica sino que es necesario tener conocimientos y la capacidad de medir el alcance debido a que esta es una actividad de anlisis crtico, la cual no implica que existan fal as en la entidad auditada sino ms bien fortalecer y mejorar el servicio de TI. El Marco Referencial de MASTI Manual de Auditora de Sistemas para la Evaluacin de la Tecnologa de Informacin, proporciona al auditor de sistemas una herramienta que le permite guiarlo sobre los puntos importantes a evaluar dentro de la Organizacin, no obstante la experiencia de ste, podr hacer la ampliacin o reduccin del mismo, estando sujeto a la responsabilidad y la objetividad que defina los lineamientos de la Administracin de la cual depende. En nuestra opinin tenemos la certeza que los recursos de TI deben ser segmentados en divisiones, y stas compuestas en reas ms especficas. Como producto de el o presentamos cuatro principales divisiones en las que se sustenta el presente manual: Planificacin y Organizacin, Plataforma Tecnolgica, Soporte y Subcontratacin. Las divisiones en referencia se agrupan en 30 reas de control y estas a la vez se subdividen en 541 actividades seccionadas las cuales conforman los programas de auditora. La numeracin correlativa de las actividades descritas en los referidos programas no representan, ni obedecen un orden de importancia, ms bien es un numero correlativo, asimismo las actividades en comento no son obligatorias en su totalidad para la aplicacin de cada una de estas, debido a que son de carcter general, de forma que permita la aplicacin en cualquier tipo de organizacin, este enfoque result como producto de las pruebas realizadas del trabajo de aplicacin en el campo. Los programas de auditora descritos en MASTI, se encuentran orientados a objetivos de control en TI, que permitirn a la Administracin tener una evaluacin de carcter tcnico sobre el ambiente de TI en la Organizacin y los riesgos asociados a esta actividad y los resultados obtenidos que permita mejorar el servicio tecnolgico en: efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad, todo el o encaminado a que la tecnologa apoye el logro de los objetivos estratgicos institucionales.
D. ESQUEMA DE MASTI
El siguiente esquema representa el proceso que indica al auditor de sistemas, el flujo interactivo que pueden efectuar al realizar la evaluacin, donde se observa que las cuatro divisiones estn ligadas y se retroalimentan o se complementan con las actividades que dependen de cada una de el as, el proceso en referencia estar bajo el juicio y el conocimiento que el auditor quiera profundizar en el alcance y objetivo previsto, esto requerir la necesidad de disponer o involucrar para el desarrollo algunos recursos tales como: tecnolgicos, de sistemas, recursos humanos, documentacin tcnica operativa y administrativa e infraestructura tecnolgica.
E. METODOLOGIA - PROCESO DE LA AUDITORIA DE SISTEMAS
PLANEAMIENTO: Comprende dos etapas 1. Revisin General * Conocimiento inicial de la entidad por examinar. * Anlisis preliminar en la entidad * Formulacin del plan de revisin estratgica 2. Revisin Estratgica *Ejecucin del plan *Aplicacin de pruebas preliminares * Identificacin de los criterios de auditoria. * Formulacin del reporte de revisin estratgica 3. Elaboracin del Plan de auditoria.
EJECUCIN: 1. Elaboracin de los programas de auditoria, la recopilacin de documentos, realizacin de pruebas y anlisis de evidencias para asegurar su suficiencia y competencia, para acumular bases suficientes para la formulacin de observaciones, conclusiones y recomendaciones debidamente sustentadas. 2. Se aplica procedimientos y tcnicas de auditoria, pruebas de evaluacin de controles, identificacin de hallazgo (condicin y criterio).
INFORME: 1. Formaliza sus observaciones en el informe de auditoria. 2. Producto final; deber detallar los elementos de la observacin (condicin, criterio, causa y efecto), comentarios de la entidad, evaluacin final de tales comentarios, conclusiones y recomendaciones. 3. Debe tener requisitos de calidad y confiabilidad. 4. Aprobado y remitido a la entidad auditada. (forma y modo establecido por la Contralora