Ing. En Sist. Héctor Samuel Recinos Agustín.
Libro Texto: Auditoría en Informática,
Autor: Echenique García, José Antonio.
U.M.G, Segundo Semestre 2013
Metodología para realizar auditorías de sistemas computacionales:
P1. Identificar el origen de la Auditoría.
1. Por solicitud expresa de procedencia interna:
1.
2.
3.
4.
2.
A petición de socios, accionistas y dueños.
Por orden de la dirección general.
Por orden de las gerencias o departamentos a nivel
superior.
A solicitud de funcionarios y empleados de otros.
Por solicitud expresa de procedencia externa:
1.
2.
3.
4.
5.
6.
7.
Por mandato de autoridades judiciales.
Por ordenamiento de autoridades fiscales.
Por revisiones de seguridad social y del trabajo.
Por revisiones de otras autoridades.
Por solicitud de proveedores y acreedores.
Por solicitud de distribuidores y desarrolladores de software
y hardware.
A petición de empresas externas.
Metodología para realizar auditorías de sistemas computacionales:
P1. Identificar el origen de la Auditoría.
3. Como consecuencia de emergencias y condiciones
especiales:
1.
2.
4.
De procedencia interna
De procedencia externa
Por riesgos y contingencias informáticas:
1.
2.
3.
4.
5.
6.
Riesgos y contingencias del personal informática.
Riesgos y contingencias físicas
Riesgos y contingencias operativas (lógicas)
Riesgos y contingencias de software.
Riesgos y contingencias en las bases de datos.
Riesgos y contingencias en el área de sistemas.
Metodología para realizar auditorías de sistemas computacionales:
P1. Identificar el origen de la Auditoría.
5. Como resultado de los planes de contingencia:
1.
2.
3.
6.
7.
Por la carencia de planes de contingencia.
Por la elaboración de planes de contingencia.
Por la aplicación de los planes de contingencia.
Por resultados obtenidos de otros auditorías.
Como parte del programa integral de auditoría.
Metodología para realizar auditorías de sistemas computacionales:
1.
P2. Realizar una visita preliminar al área que será
evaluada.
1.
2.
3.
4.
5.
2.
Visita preliminar de arranque.
Contacto inicial con funcionarios y empleados del área.
Identificación preliminar de la problemática del área de
sistemas.
Prever los objetivos iniciales de la auditoría.
Calcular los recursos y personas necesarias para la auditoría.
P3. Establecer los objetivos de la auditoría:
1.
2.
3.
Objetivo general.
Objetivos particulares.
Objetivos específicos
computacionales.
de
la
auditoría
de
sistemas
Metodología para realizar auditorías de sistemas computacionales:
1.
P4. Determinar los puntos que serán evaluados en la
auditoría.
1.
2.
3.
4.
5.
6.
1.
2.
3.
4.
5.
7.
8.
9.
Evaluación de funciones y actividades del personal área de
sistemas.
Evaluación de las áreas y unidades administrativas del centro de
cómputo.
Evaluación de la seguridad de los sistemas de información
Evaluación de la información, documentación y registros de los
sistemas.
Evaluación de los sistemas, equipos, instalaciones y
componentes.
Evaluación de los recursos humanos del área de sistemas.
Evaluación del hardware.
Evaluación del software.
Evaluación de la información y las bases de datos.
Evaluación de otros recursos informáticos.
Evaluación de equipos, instalaciones y demás componentes.
Elegir los tipos de auditoría que serán utilizados.
Determinar los recursos que serán utilizados en la auditoría.
Calcular los recursos y personas necesarias para la auditoría.
Metodología para realizar auditorías de sistemas computacionales:
1.
P4. Determinar los puntos que serán evaluados en la auditoría
(Continuación)
1.
2.
3.
4.
5.
6.
7.
2.
Calcular los recursos y personas necesarias para la auditoría.
Personal para la auditoría de sistemas.
Personal del área que será evaluada.
Apoyo de los sistemas y equipos técnicos e informáticos.
Apoyos materiales y administrativos.
Otros apoyos.
Recursos económicos.
P5. Elaborar planes, programas y presupuestos para realizar la
auditoría.
1.
2.
3.
4.
5.
6.
7.
Elaborar el documento formal de los planes de trabajo para la auditoría.
Carátula de identificación del plan de auditoría.
Indice de contenido.
Definición de objetivos.
Delimitación de estrategias para el desarrollo de la auditoría.
Planes de auditoría.
Definición de normas, políticas y lineamientos para el desarrollo de la
auditoría de sistemas.
Metodología para realizar auditorías de sistemas computacionales:
1.
P5.2. Contenido de los planes para realizar la auditoría.
1.
2.
3.
4.
5.
6.
2.
Definir los objetivos finales de la auditoría.
Establecer las estrategias para realizar la auditoría.
Diseñar las etapas, eventos y tareas en que se dividirá la
auditoría.
Calcular la duración de las tareas y eventos para satisfacer los
objetivos de la auditoría.
Distribuir los recursos que serán utilizados en las diferentes
etapas, actividades y tareas de la auditoría.
Confeccionar los planes concretos para la auditoría.
P5.3. Elaborar el documento formal de los programas
de auditoría.
1.
2.
3.
Gráfica del programa de actividades.
Definición de las etapas y eventos que se deben llevar a cabo.
Definición de las actividades y tareas.
Metodología para realizar auditorías de sistemas computacionales:
1.
P5.4. Elaborar los programas de actividades para realizar la
auditoría.
1.
2.
3.
4.
5.
6.
2.
Definir de manera precisa las etapas de la auditoría.
Identificar concretamente los eventos que se deben llevar a cabo
en cada etapa de la auditoría.
Delimitar lo más claramente posible las actividades, tareas y
acciones para cada evento.
Distribuir los recursos que serán utilizados en las diferentes
etapas, eventos, actividades y tareas.
Calcular la duración de las etapas, actividades y tareas
planeadas para la auditoria.
Determinar fechas de inicio y fin de las etapas , actividades y
tareas.
P5.5. Elaborar los presupuestos para la auditoría.
1.
2.
3.
Asignación de los costos de los recursos.
Control de los costos de los recursos.
Seguimiento y control de los planes, programas y presupuestos.
Metodología para realizar auditorías de sistemas computacionales:
1.
P6. Identificar y seleccionar los métodos, herramientas instrumentos
y procedimientos necesarios para la auditoría.
1.
1.
2.
3.
2.
1.
2.
3.
3.
1.
2.
3.
4.
5.
6.
7.
8.
Establecer la guía de ponderación de los puntos que serán evaluados.
Definir las áreas y puntos de sistemas que serán auditados.
Definir el peso de la ponderación por las áreas y puntos que serán
evaluados.
Realizar el documentos de ponderación de la auditoría.
Elaborar la guía de la auditoría.
Determinar las áreas y puntos concretos que serán evaluados en el
ambiente de sistemas.
Seleccionar los métodos, procedimientos, herramientas e instrumentos
de evaluación.
Elaborar el documento formal de la guía de evaluación.
Elaborar los documentos necesarios para la auditoría.
Diseñar los instrumentos de recopilación de información para la
auditoría.
Diseñar los cuestionarios.
Diseñar las guías para realizar entrevistas.
Diseñar los formularios para encuestas.
Diseñar los modelos y formatos para los inventarios del área de sistemas.
Determinar los puntos que serán evaluados con pruebas.
Diseñar las pruebas para la evaluación.
Diseñar los instrumentos y herramientas para pruebas de evaluación.
Metodología para realizar auditorías de sistemas computacionales:
1.
P6. Identificar y seleccionar los métodos, herramientas instrumentos y
procedimientos necesarios para la auditoría. (continuación)
Determinar herramientas, métodos y procedimientos para la auditoría de sistemas.
1.
Diseñar las herramientas e instrumentos que serán utilizados en la evaluación.
2.
Establecer los métodos y procedimientos que serán utilizados en la auditoría.
3.
Determinar las técnicas y procesos específicos que serán utilizados en la auditoría.
4.
Elaborar los documentos formales para los procedimientos métodos, herramientas
e instrumentos que serán utilizados en la auditoría.
2.
Diseñar los sistemas, programas y métodos de prueba para la auditoría.
1.
Determinar los puntos de interés, programas, bases de datos, archivos y sistemas
que serán evaluados mediante programas y pruebas de cómputos.
2.
Diseñar las pruebas, programas y sistemas para realizar las evaluaciones necesarias
para el funcionamiento de los sistemas computacionales, bases de datos y archivos.
3.
Aplicar y obtener los resultados de las pruebas, programas y sistemas para realizar
las evaluaciones necesarias.
4.
Diseñar, aplicar y evaluar los resultados de los programas, métodos y pruebas de
simulación del sistema.
5.
Diseñar otros instrumentos de recopilación.,
Asignar los recursos y sistemas computacionales para la auditoría.
1.
Asignar los recursos humanos para la realización de la auditoría.
2.
Asignar los recursos informáticos y tecnológicos para la realización de la auditoría.
3.
Asignar los recursos materiales y de consumo para la realización de la auditoría.
4.
Asignar los demás recursos para la realización de la auditoria.
1.
Importancia de la planeación de la
Auditoria de Sistemas
La función de Auditoría de Sistemas debe generar, como
todas las áreas del negocio, un plan de proyectos que
justifique el trabajo durante cierto periodo.
Con el fin de que esta función se evalúe según su
desempeño, con parámetros tangibles y mesurables.
Cada proyecto de auditoría en Sistemas respalda los objetivos
Y requerimientos de tres entidades del negocio:
Alta dirección: Seguimiento a proyectos
informáticos, Verificación y
aseguramiento del cumplimiento de
políticas.
Auditoria: Apoyo a la auditoría financiera
(Políticas, controles y procedimientos)
Capacitación para auditores (En software
y hardware)
Informática: Políticas, controles,
procedimientos y estándares (referentes a
informática) nueva tecnología, desarrollo
e implantación de soluciones.
Proceso de planeación del negocio:
Plan de negocio:
Consiste en determinar las estrategias y cursos de
acción del negocio.
Se establece mediante entrevistas y análisis
detallado de cada proceso básico de la
organización.

Proceso de planeación en informática:
Plan de informática:
Consiste en definir el conjunto de proyectos
relacionados con la función de informática, en
tiempos a corto, mediano y largo plazos.
Cada proyecto debe estar orientado a objetivos
y estrategias específicos del negocio, que fueron
definidos en el plan de negocio.

Proceso de planeación de la auditoría:
Plan de Auditoría:
Consiste en definir un conjunto de proyectos rde
evaluación y verificación de políticas, controles y
procedimientos
propios
de
las
áreas
administrativas, financieras, operativas, etc., del
negocio.
Con el objeto de asegurar el buen manejo y la
administración de los recursos de la
organización.

Proceso de planeación de la
Auditoría Informática
Plan de Auditoría Informática:
 Consta de la definición y formalización de
proyectos.
 Orientados principalmente al aseguramiento de la
calidad y control en los diferentes elementos que
se encuentran relacionados con los recursos de
informática.
Plan de Auditoría Informática
 Este proceso de planeación depende en gran
medida del diagnóstico previo que lleve a cabo el
auditor en informática sobre la situación que
prevalece en cada una de las áreas o servicios de la
función de informática.
 También se deben considerar las necesidades o
prioridades que tenga la alta dirección de auditar o
evaluar un área específica de informática
Consideraciones para el plan de
Auditoría Informática
 Diagnóstico de la situación actual de los sistemas
de información en operación.
 Debilidades que pueden motivar la auditoría de un
sistema de información.
 Clasificación de riesgos que representa el uso de
hardware y software en la organización.
 Evaluación del nivel de riesgo que representa el
uso inadecuado de los productos y servicios por el
personal de informática y usuarios dentro de la
organización.
Consideraciones para el plan de
Auditoría Informática, cont.
 Revisión de la matriz de riesgos y del pronóstico de
proyectos de auditoría en informática con la
gerencia o dirección a la que reporta directamente
la función de informática.
 Presentación del plan de proyectos de la función
de auditoría en informática a la alta dirección.
 Realización de cada uno de los proyectos de
acuerdo con el plan de auditoría en informática.
 Integración y formalización de equipos de trabajo.
 Aprobación formal de la alta dirección del informe
final de la auditoría en informática realizada.
Caso para análisis:
 El día anterior al cierre del mes, se presentó una incidencia en la División
de Informática: Uno de los equipos de comunicación E1, instalado por el
proveedor de acceso a internet, falló en forma inesperada, por lo que se
perdió la conectividad de los clientes al sitio Web de la empresa, durante 4
horas, hasta que se pudo obtener el soporte del mismo. Al revisar el equipo,
se encontró que los componentes electrónicos se dañaron por la falla de un
UPS que había sido reportado como dañado 15 días antes. Al consultar al
personal técnico, informaron que por tratarse de equipos externos, no
tenían autorización para acceder o manipular el mismo, por lo que se
limitaron a reportarlo. Adicionalmente, por norma de la empresa, si un
equipo no está registrado en el inventario, no puede comprársele ningún
tipo de repuesto o aplicarle servicio. Se le solicita:
 Explique 3 implicaciones de tener equipo ajeno a la empresa en la misma.
 Los técnicos que analizaron el equipo, procedieron adecuadamente? Por
Qué?
 Proponga 2 probables mejoras para reducir o mitigar los efectos de este
tipo de falla en la empresa.
Descargar

Presentacion AS 07-09