This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
qwertyuiopasdfghjklzxcvbnmqw
ertyuiopasdfghjklzxcvbnmqwert
yuiopasdfghjklzxcvbnmqwertyui
opasdfghjklzxcvbnmqwertyuiopa
sdfghjklzxcvbnmqwertyuiopasdf
ghjklzxcvbnmqwertyuiopasdfghj
klzxcvbnmqwertyuiopasdfghjklz
xcvbnmqwertyuiopasdfghjklzxcv
bnmqwertyuiopasdfghjk
lzxcvbnmqwertyuiopasdfghjklzx
cvbnmqwertyuiopasdfghjklzxcvb
nmqwertyuiopasdfghjklzxcvbnm
qwertyuiopasdfghjklzxcvbnmqw
ertyuiopasdfghjklzxcvbnmqwert
yuiopasdfghjklzxcvbnmqwertyui
opasdfghjklzxcvbnmqwertyuiopa
Universidad Tecnológica Del Estado De Zacatecas
Administración de la Función Informática
Auditoria informática
Cristopher Yohanni Esquivel Pinal
Edgar Renovato Contreras
Francisco Herrera Gomez
Jorge Ricardo Morales Masrtinez
27/08/2013
Pinos .ZAC
Planeación de la Auditoría en Informática
Revisión Preliminar
Revisión Detallada
Examen y Evaluación de la Información
Pruebas de consentimiento
Pruebas de Controles de los Usuarios
Pruebas Sustantivas
Evaluación de los Sistemas de Acuerdo al Riesgo
Requerimientos de una auditoría
Personal Participante
REVISIÓN PRELIMINAR
Objetivo
Obtener información necesaria para que el auditor pueda tomar la decisión de cómo
proceder en la auditoría.
La Revisión Preliminar significa la recolección de evidencias por medio de entrevistas con
el personal de la instalación, la observación de las actividades en la instalación y la
revisión de la documentación preliminar
REVISIÓN DETALLADA
Objetivo
Obtener la información necesaria para que el auditor tenga un profundo entendimiento de
los controles usados dentro del área de informática.
¿Pruebas de consentimiento o pruebas sustantivas?
En esta fase es importante para el auditor identificar las causas de las pérdidas existentes
dentro de la instalación y los controles para reducir las pérdidas y los efectos causados
por esta.
Los métodos de obtención de información son los mismos usados en la investigación
preliminar y lo único que difiere es su profundidad con la que se obtiene y evalúa.
El auditor debe evaluar si los controles escogidos son óptimos:
Si provocan un sobre control.
Si se logra un satisfactorio nivel de control usando menos controles o controles menos
costosos.
Si el auditor considera que los CI no son satisfactorios, en lugar de proceder directamente
a revisar, a probar controles alternos o realizar pruebas sustantivas y procedimientos,
debe señalar recomendaciones para mejorar los controles de los sistemas.
EXAMEN Y EVALUACIÓN DE LA INFORMACIÓN
Los auditores internos deberán obtener, analizar, interpretar y documentar la información
para apoyar los resultados de la auditoría. El proceso de examen y evaluación de la
información es el siguiente:
Se debe tener la información de todos los asuntos relacionados con los objetivos y
alcances de la Auditoría.
La información deberá ser suficiente, competente, relevante y útil para que proporcione
bases sólidas en relación con los hallazgos y recomendación de la auditoría.
Los procedimientos de auditoría deberán ser elegidos con anterioridad, cuando esto sea
posible, modificarse cuando las circunstancias lo requieran.
El proceso de recabar, analizar, interpretar y documentar la información deberá
supervisarse para proporcionar una seguridad razonable de que la objetividad del auditor
se mantuvo y que las metas de la auditoría se cumplieron.
Los documentos de trabajo de la auditoría deberán ser preparados por los auditores y
revisados por la gerencia de auditoría.
El director de auditoría en informática deberá establecer un programa para seleccionar y
desarrollar los recursos, el cual debe contemplar
Descripciones de puestos por cada nivel de AI (Áreas de Informática).
Selección de individuos calificados y competentes.
Entrenamiento y oportunidad de capacitación profesional para todos y cada
uno de los auditores.
Evaluación del trabajo de cada uno de los auditores por lo menos una vez
al año.
Asesoría a los auditores en lo referente a su trabajo y a su desarrollo
profesional.
El director de auditoría informática deberá establecer y mantener un programa de control
de la calidad para evaluar las operaciones de su equipo de trabajo. Este programa
deberá incluir:
PRUEBAS DE CONSENTIMIENTO
Objetivo:
Determinar si los CI operan como fueron diseñados para operar. El auditor debe
determinar si los controles declarados en realidad existen y si en realidad trabajan
confiablemente.
PRUEBAS DE CONTROLES DEL USUARIO
En algunos casos el auditor puede decidir el no confiar en los controles internos
dentro de las instalaciones informáticas, porque el usuario ejerce controles que
compensan cualquier debilidad dentro de los CI de informática.
PRUEBAS SUSTANTIVAS
Objetivo:
Obtener evidencia suficiente que permita al auditor emitir su juicio en las
conclusiones acerca de cuándo pueden ocurrir pérdidas materiales durante el
procesamiento de la información.
Evaluación de los sistemas de acuerdo al riesgo
Una de las formas de evaluar la importancia que puede tener para la organización un
determinado sistema es considerar el riesgo que implica el que no sea adecuadamente
utilizado, la pérdida de información o bien que sea usado por personal ajeno a la
organización.
Algunos sistemas de aplicaciones son de más alto riesgo que otros debido a que:
Son susceptibles a diferentes tipos de pérdida económica.
Las fallas pueden impactar grandemente a la organización.
Los sistemas le dan a la empresa un nivel competitivo muy alto dentro de un
mercado.
Sistemas de tecnología de punta.
Sistemas que son muy costosos de desarrollar, los cuales son frecuentemente
sistemas complejos que pueden presentar muchos problemas de control.
Requerimientos de una Auditoría
Objetivos a corto y largo plazo.
Misión, Visión y Valores.
Antecedentes de la empresa
Organigrama
Función de cada uno de los departamentos.
Relaciones entre las diversas áreas del negocio
Políticas Generales.
Número de personas y puestos en el área.
Procedimientos administrativos del área.
Presupuestos y costos del área.
Recursos Materiales y Técnicos
Solicitar documentos sobre los equipos, así como el número de ellos, su
localización y sus características (de los equipos instalados, por instalar y
programados).
Estudio de viabilidad.
Fechas de instalación de los equipos y planes de instalación.
Contratos vigentes de compra, renta y servicio de mantenimiento.
Contratos de seguros.
Convenios que se tienen con otras instalaciones.
Configuración de los equipos y capacidades actuales y máximas.
Configuración de equipos de comunicación(redes internas y externas) y
localización de los equipos.
Planes de expansión.
Ubicación general de los equipos.
Políticas de operación.
Políticas del uso de los equipos.
Políticas de seguridad física y prevención contra contingencias internas y externas.
Sistemas
Descripción general de los sistemas instalados y de los que estén por instalarse.
Manual de procedimientos de los sistemas.
Descripción genérica.
Diagramas de entrada, archivos, salidas.
Fecha de instalación de los sistemas.
Proyecto de instalación de nuevos sistemas.
Bases de datos, propietarios de la información y usuarios de la misma.
Procedimientos y políticas en caso de desastre.
Sistemas propios y/0 legalidad de los mismos.
Personal Participante
El número de ellos depende de las dimensiones de la organización, de los
sistemas y de los equipos.
El personal debe estar debidamente capacitado (conocimiento y experiencia) en
áreas específicas como bases de datos, hardware, software y comunicaciones, y
con un alto sentido de moralidad.
Se debe contar con personas asignadas por los usuarios.
TÉCNICAS E INSTRUMENTOS PARA REALIZAR AUDITORIA
INFORMÁTICA
Evaluación
Consiste en analizar mediante pruebas la calidad y cumplimiento de funciones,
actividades y procedimientos que se realizan en una organización o área.
Inspección
La inspección permite evaluar la eficiencia y eficacia del sistema, en cuanto a operación y
procesamiento de datos para reducir los riesgos y unificar el trabajo hasta finalizarlo.
Confirmación
El aspecto más importante en la auditoria es la confirmación de los hechos y la
certificación de los datos que se obtienen en la revisión, ya que el resultado final de la
auditoria es la emisión de un dictamen donde el auditor expone sus opiniones, este
informe es aceptado siempre y cuando los datos sean veraces y confiables
Comparación:
Es la comparación de los datos obtenidos en un área o en toda la organización y
cotejando esa información con los datos similares o iguales de otra organización con
características semejantes.
Revisión Documental
Para recopilar información relacionada con la actividad, operación o función que se realiza
en el área informática, así como también se puede observar anticipadamente su
cumplimiento
Matriz DOFA
Este es un método de análisis y diagnóstico usado para la evaluación de un centro de
cómputo, que permite la evaluación del desempeño de los sistemas software, aquí se
evalúan los factores internos y externos, para que el auditor puede evaluar el
cumplimiento de la misión y objetivo general del área de informática de la organización.
RECOLECCIÓN DE INFORMACIÓN PARA AUDITORÍA INFORMÁTICA Y DE
SISTEMAS
Observación
Es una de las técnicas más utilizadas para examinar los diferentes aspectos que
intervienen en el funcionamiento del área informática y los sistemas software,
Entrevistas
De esta se obtiene información sobre lo que esta auditando, además de tips que
permitirán conocer más sobre los puntos a evaluar o analizar
Cuestionarios
Los cuestionarios son preguntas impresas en formatos o fichas en que el auditado
responde de acuerdo a su criterio, de esta manera el auditor obtiene información que
posteriormente puede clasificar e interpretar por medio de la tabulación y análisis, para
evaluar lo que se está auditando y emitir una opinión sobre el aspecto evaluado.
Encuestas
Son utilizadas para recolectar información sobre aspectos como el servicio, el
comportamiento y utilidad del equipo, la actuación del personal y los usuarios, entre otros
juicios de la función informática.
Resultados de la Auditoría
El análisis de la eficiencia de los Sistemas Informáticos
La verificación del cumplimiento de la Normativa en este ámbito
La revisión de la eficaz gestión de los recursos informáticos.
Sus beneficios son:
Mejora la imagen pública.
Confianza en los usuarios sobre la seguridad y control de los servicios de TI.
Optimiza las relaciones internas y del clima de trabajo.
Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre
otros).
Genera un balance de los riesgos en TI.
Realiza un control de la inversión en un entorno de TI, a menudo impredecible.
La auditoría informática sirve para mejorar ciertas características en la empresa como: