3.- INTERPRETACIÓN DE INFORMACIÓN DE LA AUDITORIA
Conceptos Básicos e Interpretación de los resultados
Se refiere a la información recopilada durante la auditoria, el análisis de la auditoria con las evidencias tomadas sean no conformidades u observaciones, de acuerdo a los resultados obtenidos se pueden obtener diferentes opiniones:
- Favorable: Cuando todos los procedimientos de la auditoria han sido auditados satisfactoriamente.
- Con salvedades: Cuando el auditor tiene una opinión adversa provocada por incertidumbres y limitaciones de alcance.
- Opinión denegada: Cuando el auditor no obtuvo la información necesaria para formular su opinión sobre la auditoria.
- Opinión desfavorable: Se argumenta esta opinión cuando incumplimientos es significativo y hay un número elevado de salvedades.
Presentación de conclusiones de la auditoria informática.
Hay muchas variaciones de la redacción del documento final de la auditoria informática, algunas se basan en las políticas de la empresa o de la institución que otorga la certificación, se presenta el siguiente formato como referencia de los resultados obtenidos de la auditoria:
INFORME DE AUDITORIA (Ejemplo)
Fecha del Informe: 12 / 06 / 2000
Nombre de la Entidad: Seguros S.A
AUDITORIA DE UNA BASE DE DATOS
Objetivo
Controlar la definición y existencia de los objetos necesarios para la
normal utilización de una BD y para mejorar su performance.
Lugar de la Auditoría: Área
de Sistemas
Grupo de Trabajo de Auditoría: Lic. Jorge Gorostiza
Lic. Gustavo Barrientos
Lic. Gustavo Barrientos
Fecha de Inicio de la Auditoría: 12 / 05 / 2000
Tiempo estimado del proceso de revisión: 30 hs
Fecha de Finalización de la Auditoría: 19 / 05 / 2000
Herramientas utilizadas
- Metodología de auditoría de objetivos de control
- Utilitarios estándar
- Utilitarios estándar
Alcance
Controlar la definición y existencia de todos los objetos que son
necesarios en la BD y que son utilizados por los distintos sistemas de la
empresa.
Procedimientos a aplicar:
Objetos
- ¿Las tablas definidas en el diseño
coinciden con las fueron creadas en la BD teniendo en cuenta nombres de las
tablas, columnas y tipos de datos de las columnas?
- ¿Están definidas las claves primarias (PK) y claves externas (FK) de c/ tabla existente?
- ¿Existen las secuencias (sequences) correspondientes a la clave primaria (PK) de c/ tabla definida?
- ¿La BD tiene vistas (views) respecto de algunas tablas?
- Para mejorar el performance del sistema, ¿el DBA definió que sean necesarios según los casos?
- ¿Existe documentación actualizada respecto del diseño e implementación de la BD?
- ¿Están definidas las claves primarias (PK) y claves externas (FK) de c/ tabla existente?
- ¿Existen las secuencias (sequences) correspondientes a la clave primaria (PK) de c/ tabla definida?
- ¿La BD tiene vistas (views) respecto de algunas tablas?
- Para mejorar el performance del sistema, ¿el DBA definió que sean necesarios según los casos?
- ¿Existe documentación actualizada respecto del diseño e implementación de la BD?
Datos
- ¿Con qué frecuencia se realiza una
copia de resguardo (backup) respecto de la BD?
- ¿Cada cuánto tiempo se realiza una actualización de los datos existentes?
- ¿Cada cuánto tiempo se realiza una actualización de los datos existentes?
Usuarios
¿Cuántos usuarios tienen acceso a la BD?
¿Cuántos usuarios actúan como desarrolladores respecto de la BD?
¿Cuántos usuarios son usuarios finales de la BD?
¿Cuáles son los roles y privilegios establecidos por el DBA?
¿Todos los usuarios tienen definido un rol determinado?
¿Cuántos usuarios actúan como desarrolladores respecto de la BD?
¿Cuántos usuarios son usuarios finales de la BD?
¿Cuáles son los roles y privilegios establecidos por el DBA?
¿Todos los usuarios tienen definido un rol determinado?
Informe de las debilidades detectadas
|
Situación Actual
|
Recomendación
|
Comentario de la Gcia de Sistemas
|
|
No existen índices que permitan mejorar el performance del sistema
|
Crear los índices que correspondan de acuerdo con las aplicaciones que
fueron desarrolladas.
|
De acuerdo
(Sr. Gte de Sistemas) |
|
Se realiza una copia diaria de resguardo (backup)
|
Debido al caudal de información que maneja la empresa, se sugiere
realizar 2 backups diarios, uno a mitad del día y otro al final del día.
|
De acuerdo
(Sr. Gte de Sistemas) |
CONCLUSIONES
El equipo de auditores considera que la empresa NO realiza las tareas de
actualización y mantenimiento necesarias, las cuales son esenciales para el
normal funcionamiento de la misma y para el cumplimiento de los objetivos
establecidos en las distintas áreas de la empresa.
Casos Prácticos
Estos casos tienen como finalidad, la elaboración de un "Informe de
Auditoría" teniendo en cuenta las situaciones planteadas.
Áreas de Oportunidad, ITIL & FODA
El objetivo fundamental de ITIL(Biblioteca de Infraestructura de Tecnologías de la Información) es proporcionar a los administradores de sistemas de TI las mejores herramientas y documentos que le ayuden a mejorar la calidad de sus servicios y la satisfacción de sus clientes para alcanzar los objetivos específicos de la organización.
El análisis FODA es un esquema representado por 4 siglas:
- Fortalezas: Características y capacidades internas de la organización que le han permitido llegar al nivel actual de éxito y lo que la distingue de la competencia.
- Oportunidades: Son los factores externos de la organización que puede aprovechar para obtener ventajas competitivas.
- Debilidades: Características y capacidades internas de la organización que no contribuyen al éxito y provocan situaciones desfavorables.
- Amenazas: Situaciones externas que no puede controlar la organización pero pueden afectar desfavorablemente en forma relevante.
Conclusión personal:
La auditoria informática representa todo un reto para la organización ya que no solo es la inversión de capital, sino requiere mucho cuidado y dedicación en otros aspectos como es el correcto seguimiento de los procesos e implementación de los mismos.
Desde el punto de vista de profesionista de TI, creo que es una área de oportunidad para trabajar pues involucra muchos organizaciones como las provedoras de certificaciones, consultoras entre otras donde nos podemos capacitar y brindar estos servicios a las organizaciones de manera que contribuyen a que una organización tenga procesos y productos de calidad y por supuesto ahorro en su presupuesto.
Bibliografía:
Auditoria de sistemas una visión práctica, Alonso Tamayo Alzate, Colombia 2011
http://fcasua.contad.unam.mx/apuntes/interiores/docs/98/8/audi_infor.pdf
https://www.uv.mx/personal/jfernandez/files/2012/11/ITIL.pdf
http://www.buenosnegocios.com/notas/231-analisis-foda-diagnostico-decidir
Auditoria de sistemas una visión práctica, Alonso Tamayo Alzate, Colombia 2011
http://fcasua.contad.unam.mx/apuntes/interiores/docs/98/8/audi_infor.pdf
https://www.uv.mx/personal/jfernandez/files/2012/11/ITIL.pdf
http://www.buenosnegocios.com/notas/231-analisis-foda-diagnostico-decidir
