Auditoría DE LA Explotación PDF

Preview

Summary

qqsw...

Description

AUDITORÍA DE LA EXPLOTACIÓN ¿Qué es la explotación informática? La explotación informática se ocupa de producir resultados informáticos de todo tipo: listados impresos, ficheros soportados magnéticamente para otros informáticos, órdenes automatizadas para lanzar o modificar procesos industriales, etc. La materia prima de la explotación informática son los datos, los cuales se transforman y se someten a controles de integridad y calidad. Al final los resultados son distribuidos al cliente o usuario. ¿Qué es la auditoría de la explotación? La Auditoría de la Explotación consiste en auditar las secciones que componen la explotación informática y sus interrelaciones. Ésta se divide en tres grandes áreas: Planificación, Producción y Soporte Técnico. Control de Entrada de Datos Este proceso analiza la captura de la información en soporte compatible con los sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos, es decir, la correcta transmisión de datos entre entornos diferentes. Planificación y Recepción de Aplicaciones Se auditarán las normas de entrega de Aplicaciones por parte de Desarrollo, verificando su cumplimiento y su calidad de interlocutor único. Deberán realizarse muestreos selectivos de la documentación de las aplicaciones explotadas y se inquirirá sobre la anticipación de contactos con Desarrollo para la planificación a medio y largo plazo. Centro de Control: Seguimiento de Trabajos Aquí se analiza cómo se prepara, se lanza y se sigue la producción diaria. Para ello, se ejecutan procesos por cadenas o lotes (batch), o en tiempo real. La diferencia entre batch y tiempo real, es que los procesos batch recogen información durante todo el día y luego la procesan; en tiempo real, la información se analiza y procesa inmediatamente. Operación. Sala de Ordenadores Se realizan varias operaciones como:  Intentar analizar las relaciones personales y la coherencia de cargos y salarios.  Verificar la existencia de un responsable de sala en cada turno de trabajo.  Analizar el grado de automatización de comandos.  Supervisar la existencia y grado de uso de los manuales de operación.  Verificar la existencia de planes de formación y el cumplimiento de los mismos.  Analizar los montajes diarios y por horas de cintas o cartuchos y las líneas de papel impresas diarias y por Centro de Control de Red y Centro de Diagnosis (mesa ayuda) El centro de control de red suele ubicarse en el área de producción de Explotación. Es utilizado en el ámbito de las Comunicaciones, estando bastante relacionado con la

organización de Software de Comunicaciones de Técnicas de Sistemas. El Centro de Diagnosis es el ente en donde se atienden las llamadas de los usuarios o clientes que han sufrido averías o incidencias, tanto de software como de hardware. Debe auditarse desde la perspectiva de la sensibilidad del usuario sobre el servicio que se le dispone.

Auditoria de Explotación La Explotación Informática se ocupa de producir resultados informáticos de todo tipo: listados impresos, archivos soportados magnéticamente, órdenes automatizadas para lanzar o modificar procesos industriales, etc. Para realizar la Explotación informática se dispone de una materia prima, los Datos, que es necesario transformar, y que se someten previamente a controles de integridad y calidad. Explotación debe recepcionar solamente programas fuente, los cuales hayan sido aprobados por Desarrollo. ¿Qué es la Auditoría de Explotación? La Auditoria de explotación es el control que se realiza sobre las funciones del Sistema de Información para asegurar que las mismas se efectúen de forma regular, ordenada y que satisfagan los requisitos empresariales.

¿Por qué es necesaria la Auditoría de Explotación? El nivel de competencia que existe, hoy en día, entre las empresas les obliga a tomar decisiones rápidas y acertadas. Es necesario, para ello el funcionamiento adecuado de los sistemas informáticos (mediante la incorporación de las nuevas tecnologías) y su continua actualización.

¿Para qué se utiliza la Auditoría de Explotación? Combinando los nuevos avances tecnológicos con una adecuada organización y una gestión eficiente, las empresas podrán alcanzar sus objetivos de manera satisfactoria. La auditoría informática periódica es uno de los instrumentos más eficaces con que cuentan las empresas para asegurar su existencia y superar a sus competidores. La detección oportuna de las debilidades del sistema permite mejorarlo racionalizando los recursos.

Objetivos de la Auditoria de Explotación  Controlar los manuales de instrucciones y procedimientos de explotación.  Controlar los inicios de los procesos y otra documentación de funcionamiento.  Revisar la agenda de trabajo.  Verificar la continuidad del proceso.  Realizar controles sobre la explotación remota.

 Comprobar que en ningún caso los operadores acceden a documentación de programas que no sea la exclusiva para su explotación.  Revisar que existen procedimientos que impidan que puedan correrse versiones de programas no activos.  Verificar los procedimientos según los cuales se incorporan nuevos programas a las librerías productivas.  Examinar los lugares en donde se almacenan cintas y discos, así como la perfecta y visible identificación de estos medios.  Verificar los planes de mantenimiento preventivo de la instalación.  Comprobar que existen normas escritas que regulen perfectamente todo lo relativo a copias de seguridad: manejo, autorización de obtención de datos, destrucción, etc.

Componentes del Sistema de Información según el proyecto COBIT.  Datos: En general se consideraran datos tanto los estructurados como los no estructurados, las imágenes y los sonidos.  Aplicaciones: Se incluyen las aplicaciones manuales y las informáticas.  Tecnología: El software y el hardware, los sistemas operativos, los sistemas de gestión de base de datos, los sistemas de red, etc.  Instalaciones: En ellas se ubican y se mantienen los sistemas de información.  Personal: Los conocimientos específicos que h de tener el personal de los sistemas de información para planificarlos, organizarlos, administrarlos y gestionarlos. Estos recursos de los sistemas de información se han de utilizar de forma que permitan la eficacia y la eficiencia de la empresa; que los datos elaborados por su sistema de información muestren una imagen fiel de la misma y que la empresa cumpla la legislación vigente.

Procedimiento de la Auditoría Carta de Encargo En este documento debe quedar reflejado de la forma más clara posible, entre otros aspectos, cuál será el alcance del trabajo del auditor.

Planificación Estratégica Es una revisión global que permite conocer la empresa, el sistema de información y su control interno con la intención de hacer una primera evaluación de riesgos. Según los resultados de esa evaluación se establecerán los objetivos de la auditoría y se podrá determinar su alcance y las pruebas que hayan de aplicarse, así como el momento de realizarla. Para llevar a cabo esta tarea es necesario conocer entre otros aspectos los siguientes:

 Las características de los equipos informáticos  El sistema o los sistemas operativos  Características de los ficheros o de las base de datos  La organización de la empresa  La organización del servicio de explotación.  Las aplicaciones que el Sistema de información de la empresa que se esté auditando o que se vaya a auditar estén en explotación.  El sector donde opera la empresa.  Información comercial. La instalación de un sistema informático introduce nuevos elementos de control y origina cambios en los procedimientos tradicionales de control de procesamiento de datos. Estos cambios pueden ser clasificados como:  Nuevos controles necesarios para la automatización del procesamiento.  Controles que sustituyen a aquellos que en los sistemas manuales están basados en el criterio humano y en la división de labores. Se necesitan nuevos controles debido a la automatización. Su objeto es detectar y controlar errores derivados del uso del equipo informático y de los métodos de procesamiento del equipo. Si estos controles no existen, el sistema puede quedar expuesto a un riesgo indebido de error. En un sistema manual, el control interno depende de factores como la vigilancia humana, el cuidado, la aceptación de responsabilidad y la división de labores. En vista de que la actividad de procesamiento de información está concentrada desaparecen muchos controles basados en el criterio humano y la división mencionada. Los controles en un sistema informático deben proporcionar una seguridad razonable de que el procesamiento está siendo efectuado correctamente. Debe detectar errores e irregularidades rápidamente y asegurar una acción correctiva apropiada. Los controles necesarios en este tipo de sistema pueden dividirse en aquellos relacionados con las actividades de procesamiento, para prevenir y detectar errores, y aquellos relacionados con la organización y administración. Con respecto a la organización y administración: Este aspecto se refiere a la asignación de responsabilidades y autoridad para las diversas funciones a realizar dentro de la organización. Para establecer responsabilidades se deben preparar descripciones de los trabajos a a efectuar por todo el personal que interviene en el procesamiento de información. Estas descripciones deberán incluir los títulos de los puestos y describir claramente las funciones. También se debe considerar la Separación de Labores la cual constituye un elemento de control interno que se aplica, en nuestro caso, en las funciones básicas del sistema de información.

EJEMPLOS:

CASO:...