Implantación de la auditoria de sistemas

Propuesta Organizacional

Actividades de la
auditoria informatica

Recursos Materiales

Hardware

Software

Recursos Humanos

Plan de Trabajo

r

El plan se elabora teniendo en cuenta, entreotros criterios, los siguientes:- Si la revisión debe realizarse por áreas generales o áreas específicas.- En el primer caso, la elaboración es más compleja y costosa.- Si la auditoría es global, de toda la Informática, o parcial. El volumen determina no solamente el número de auditores necesarios, sino las especialidades necesarias del personal.Son características del plan de trabajo:- En el plan no se consideran calendarios, porque se manejan recursos genéricos y no específicos.- En el plan se establecen los recursos y esfuerzos globales que van a ser necesarios.- En el plan se establecen las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente.- El plan establece disponibilidad futura de los recursos durante la revisión.- El plan estructura las tareas a realizar por cada integrante del grupo.- En el plan se expresan todas las ayudas que el auditor ha de recibir del auditado.

Alcance y objetivos de
la auditoria informatica

Estudio inicial del entorno

Organización

Organigrama

Departamentos

Relaciones jerárquicas y funcionales
entre órganos de la organización

Flujos de información

Número de puestos de trabajo

Número de personas
por puestos de trabajo

Entorno Operacional

Situación geográfica de los sistemas

Arquitectura y configuración
de hardware y software

Inventario de hardware y software

Comunicación y redes de comunicación

Aplicaciones de base
de datos y ficheros

Documentación

Cantidad y complejidad de
bases de datos y ficheros

Confección y redacción
de informe Final

Estructura del
informe final

r

- El informe comienza con la fecha de inicio de la auditoría y la fecha de redacción del mismo.- Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente.- Definición de objetivos y alcance de la auditoría.- Enumeración de temas considerados: antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible todos los temas objeto de la Auditoría.-Cuerpo expositivo: para cada tema, se seguirá el siguiente orden a saber:a. Situación actual.b. Tendencias. c. Puntos débiles y amenazas.d. Recomendaciones y planes de acción. e. Redacción posterior de la Carta de Introducción o Presentación.

Modelo conceptual de la
exposición del informe final

r

- El informe debe incluir solamente hechos importantes. La inclusión de hechos poco relevantes o accesorios desvía la atención del lector.- El Informe debe consolidar los hechos que se describen en el mismo. El término "hechos consolidados" adquiere un especial significadode verificación objetiva y de estar documentalmente probados y soportados. La consolidación de los hechos debe satisfacer, al menos los siguientes criterios:-El hecho debe poder ser sometido a cambios.- Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación.- No deben existir alternativas viables que superen al cambio propuesto.- La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y estándares existentes en la instalación.

Flujo del hecho o debilidad

Hecho encontrado

Consecuencias del hecho

Repercusión del hecho

Conclusión del hecho

Recomendación del
auditor informático

Carta de introducción o
presentación del informe final

r

- Tendrá como máximo 4 folios.- Incluirá fecha, naturaleza, objetivos y alcance.- Cuantificará la importancia de las áreas analizadas.-Proporcionará una conclusión general, concretando las áreas degran debilidad.- Presentará las debilidades en orden de importancia y gravedad.- En la carta de Introducción no se escribirán nunca recomendaciones.