Transcripción

1 Universidad Autónoma de los Andes Evaluación y Auditoría Informática Unidad 1: Metodología de una Auditoría de Sistemas Computacionales - ASC Ing. John Toasa Espinoza Trab_uniandes@yahoo.es Puyo, 2010

2 Agenda Objetivo Conceptos Objetivos generales de la auditoría Objetivos generales de la ASC Principales áreas, actividades y resultados que se auditan en la Auditoría y en la ASC. Que se debe evaluar en una ASC Normas ético-morales del Auditor Informático Métodos, técnicas, herramientas y procedimientos de auditoría de sistemas Representación esquemática de la Metodología para realizar ASC (metodología y planeación) Conclusiones Taller y trabajo final (caso práctico)

3 Objetivo Proponer una metodología específica que puede ser aplicable a la realización de cualquier tipo de auditoría en el campo de sistemas computacionales, con el propósito de mostrar una forma concreta de llevar a cabo la planeación, selección de herramientas, desarrollo y presentación de los resultados de estas auditorías.

4 Conceptos Según: Real Academia Española Qué es Auditoria? Es la revisión independiente de alguna o algunas actividades, funciones específicas, resultados u operaciones de una entidad administrativa, realizada por un profesional de auditoría, con el propósito de evaluar su correcta funcionalidad, y con base en ese análisis, poder emitir una opinión autorizada sobre la razonabilidad de sus resultados y el cumplimiento de sus operaciones.

5 Conceptos Según: Real Academia Española Qué es Auditoría Informática ó Auditoría de Sistemas ó Auditoría de Sistemas Computacionales ó..?????? Es la revisión técnica y especializada que se realiza a los sistemas de una empresa, con el propósito de evaluar el uso adecuado de estos sistemas en relación con los servicios que proporcionan estos sistemas.

6 Conceptos Según: Real Academia Española Qué es un Auditor? Persona capacitada para realizar empresas u otras instituciones. auditorías en En el informe los auditores dan una opinión independiente de la organización.

7 Objetivos generales de la Auditoria 1. Realizar una revisión independiente de las actividades. 2. Hacer una actividades. revisión especializada de 3. Evaluar el cumplimiento de las actividades. las 4. Dictaminar de manera profesional e independiente sobre los resultados obtenidos en esas actividades.

8 Objetivos generales de la ASC 1. Realizar una evaluación con personal multidisciplinario y capacitado en el área de sistemas. 2. Hacer una evaluación sobre el uso de los recurso financieros. 3. Evaluar el uso y aprovechamiento de los equipos de cómputo. 4. Evaluar el aprovechamiento de los sistemas de procesamiento.

9 Objetivos generales de la ASC 5. Evaluar el cumplimiento de las actividades. 6. Realizar la evaluación de las áreas con el apoyo de los sistemas computacionales. Objetivos generales de la Auditoría Se relacionan unos con otros Objetivos generales de la ASC

10 Qué se debe evaluar en una ASC? Hardware Software Gestión informática Información Diseño de sistemas Bases de datos Seguridad Redes de cómputo Especializadas

11 Clasificación de la ASC 1. Auditoría con la computadora 2. Auditoría sin la computadora 3. Auditoría a la gestión informática 4. Auditoría al sistema de cómputo 5. Auditoría alrededor de la computadora 6. Auditoría de la seguridad de sistemas computacionales 7. Auditoría a los sistemas de redes 8. Auditoría integral a los centros de cómputo 9. Auditoría ISO-9000 a los sistemas de computacionales 10. Auditoría Outsourcing 11. Auditoría ergonómica de sistemas computacionales

12 Métodos, técnicas, herramientas y procedimientos de ASC 1. Instrumentos de recopilación de datos aplicables en la auditoría de sistemas. Entrevistas, cuestionarios, encuestas, observación, inventarios, muestreo, experimentación. 2. Técnicas de evaluación aplicables en la auditoría de sistemas. Examen, inspección, documental. 3. Técnicas especiales computacionales. confirmación, para la comparación, auditoría de revisión sistemas Guías de evaluación, ponderación, simulación, evaluación, diagrama del círculo de sistemas, diagramas de sistemas, matriz de evaluación, programas de verificación, seguimiento de programación.

13 Normas ético morales profesionales del auditor Estas son las normas ético-morales que regulan la actuación del auditor. Normas para la capacitación del auditor. Normas para la conducta observable del auditor. Normas para el desarrollo del trabajo del auditor. Normas para la emisión del informe de auditoría.

14 Representación esquemática de la metodología de ASC METODOLOGIA Planeación Ejecución Dictamen 3 Para que nos permita EJECUTAR la METODOLOGIA 2 Realizar un proceso de PLANEACION 1

15 Consideraciones metodológicas Una metodología es necesaria para que un equipo de profesionales alcancen un resultado homogéneo en equipos de trabajo heterogéneos. Las metodologías usadas por un profesional dicen mucho de su forma de entender su trabajo. La informática ha sido tradicionalmente una materia compleja en todos sus aspectos.

16 Conceptos Según: Real Academia Española Método, es el modo de decir o hacer una cosa. Metodología, conjunto de métodos que se siguen en una investigación científica o en una exposición doctrinal. Esto significa que cualquier proceso científico debe estar sujeto a una disciplina de proceso definida con anterioridad. Son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz

17 Conceptos Según: Real Academia Española Planeación, es el proceso de decidir de antemano qué se hará y de qué manera, la cual tiene una implicación futura. Plan, es un método detallado formulado de antemano, para hacer algo. Programa, son cursos de acción detallados que señalan los pasos específicos que habrán de realizarse para lograr los objetivos, indicando la secuencia cronológica y los tiempos de duración de dichos pasos.

18 Conceptos Según: Real Academia Española Actividad, es el conjunto de operaciones ejecutadas ó de actos, desarrollados por una o varias personas y que contribuyen al logro de una función. Tarea, es la subdivisión del trabajo para concretizar una actividad. Plan de trabajo, es la representación gráfica en la que se muestran las actividades que integran un proyecto, el periodo de tiempo necesario para realizar cada una de ellas y sus responsables así como los de cada actividad.

19 Etapas de la metodología de ASC 1. Planeación de Computacionales. la Auditoria de Sistemas 2. Ejecución de la Computacionales. Auditoria de Sistemas 3. Dictamen de la Computacionales. Auditoria de Sistemas

20 1. Planeación de la Auditoria de Sistemas Computacionales El primer paso para realizar una auditoría en sistemas computacionales es definir las actividades necesarias para su ejecución, lo cual se logrará mediante una adecuada planeación de éstas. Esta fase de planeación culmina con la elaboración formal de planes, programas y presupuestos en documentos que sirven para consulta y control de las actividades de revisión.

21 1. Planeación de la Auditoria de Sistemas Computacionales Se debe iniciar con el planteamiento de las siguientes interrogantes: Porqué se realizará la auditoría? Se debe hacer una visita preliminar al área de sistemas? Cuál es el objetivo que se pretende alcanzar con esta auditoría?

22 1. Planeación de la Auditoria de Sistemas Computacionales P.1 Identificar el origen de la auditoría. P.2 Realizar una visita preliminar al área que será evaluada. P.3 Establecer los objetivos de la auditoría. P.4 Determinar los puntos que serán evaluados en la auditoría. P.5 Elaborar planes, programas y presupuestos para realizar la auditoría. P.6 Identificar y seleccionar los métodos, procedimientos, instrumentos y herramientas necesarias para la auditoría. P.7 Asignar los recursos y sistemas computacionales para la auditoría.

23 2. Ejecución de la Auditoria de Sistemas Computacionales Esta determinada por las características concretas, los puntos y requerimientos que se estimaron en la etapa de planeación. Se debe aplicar de acuerdo con la planeación de la auditoría y de acuerdo a las características específicas de la auditoría que se trate.

24 2. Ejecución de la Auditoria de Sistemas Computacionales E.1 Realizar las acciones programadas para la auditoría. E.2 Aplicar los instrumentos y herramientas para la auditoría. E.3 Identificar y elaborar los documentos de desviaciones encontradas. E.4 Elaborar el dictamen preliminar y presentarlo a discusión. E.5 Integrar el legado de papeles de trabajo de la auditoría.

25 3. Dictamen de la Auditoria de Sistemas Computacionales D.1 Analizar la información y elaborar un informe de situaciones detectadas. - El propósito es que el auditor elabore su borrador y comente las desviaciones con los auditados.. - Después, debe elaborar las modificaciones pertinentes. D.2 Elaborar el dictamen final. - Se presenta a los directivos del área auditada. D.3 Presentar el informe de auditoría. - Se presenta al más alto directivo de la empresa. - En medio de una reunión directiva.

26 3. Dictamen de la Auditoria de Sistemas Computacionales D.1 Analizar la información y elaborar un informe de situaciones detectadas. D.1.1 Analizar los papeles de trabajo. D.1.2 Señalar las situaciones encontradas. D.1.3 Comentar las situaciones encontradas con el personal de las áreas. D.1.4 Realizar las modificaciones necesarias. D.1.5 Elaborar un documento de situaciones relevantes.

27 3. Dictamen de la Auditoria de Sistemas Computacionales D.2 Elaborar el dictamen final. D.2.1 Analizar la información y elaborar un documento de desviaciones detectadas. D.2.2 Elaborar el informe y el dictamen formales. D.2.3 Comentar el informe y el dictamen con los directivos del área. D.2.4 Realizar las modificaciones necesarias.

28 3. Dictamen de la Auditoria de Sistemas Computacionales D.3 Presentar el informe de auditoría. D.3.1 Elaboración del dictamen formal. D.3.2 Integración del informe de auditoría. D.3.3 Presentación del informe de auditoría. D.3.4 Integración de los papeles de trabajo.

29 Propuesta de papeles de trabajo para la 1. Hoja de identificación ASC 2. Ïndice de contenidos de los papeles de trabajo 3. Dictamen preliminar (borrador) 4. Resumen de desviaciones detectadas (las más importantes) 5. Situaciones encontradas (situaciones, causas y soluciones) 6. Programa de trabajo de auditoría 7. Guía de auditoría

30 Propuesta de papeles de trabajo para la ASC 8. Inventario de SW 9. Inventario de HW 10. Inventario de consumibles 11. Manual de organización 12. Descripción de puestos 13. Reportes de pruebas y resultados 14. Respaldos (backups) de datos, disquets y programas de aplicación de auditoría 15. Respaldos (backups) de las BD y de los sistemas

31 Propuesta de papeles de trabajo para la ASC 16. Guías de claves para el señalamiento de los papeles de trabajo 17. Cuadros y estadísticas concentradores de información 18. Anexos de recopilación de información 19. Diagramas de flujo, de programación y de desarrollo de sistemas 20. Testimoniales, actas y documentos legales de comprobación y confirmación 21. Análisis y estadísticas de resultados, datos y pruebas de comportamiento del sistema. 22. Otros documentos de apoyo para el auditor

32 Propuesta de puntos que se deben evaluar en una ASC 1. Auditoría con la computadora 2. Auditoría sin la computadora 3. Auditoría a la gestión informática del área de sistemas 4. Auditoría al sistema computacional 5. Auditoría alrededor de la computadora 6. Auditoría de la seguridad de los sistemas computacionales 7. Auditoría a los sistemas de redes 8. Auditoría outsourcing en los sistemas computacionales 9. Auditoría ISO 9000 a los sistemas computacionales 10. Auditoría ergonómica de los sistemas de cómputo 11. Auditoría integral a los centros de computo

33 Planeación de la ASC Para hacer una adecuada planeación de la ASC hay que seguir una serie de pasos previos que permitan dimensionar el tamaño y características del área dentro del organismo a auditar, sus sistemas, organización y equipos. La planeación permite determinar: Personal (número y características). Herramientas necesarias. Tiempo y costo. Definir el alcance y los objetivos. Poder elaborar el contrato de servicios.

34 Planeación de la ASC Eje 1: Propuesta de servicios para ASC ANTECEDENTES OBJETIVOS DE LA AUDITORÍA INFORMÁTICA ALCANCES DEL PROYECTO METODOLOGÍA TIEMPO Y COSTO

35 Planeación de la ASC Eje 2: Propuesta de contrato de ASC 1. QUIENES CELEBRAN 2. QUÉ DECLARAN 3. CUÁLES SON LAS CLÁUSULAS Primera. Objeto Segunda. Alcance del trabajo Tercera. Programa de trabajo Cuarta. Honorarios. Quinta. Plazo del trabajo Sexta. Jurisdicción, etc

36 Planeación de la ASC Una inadecuada planeación provocará una serie de problemas que pueden impedir que se cumpla con la auditoría ó bien hacer que NO se cumpla con profesionalismo. El trabajo de Auditor Informático deberá incluir: La planeación de la ASC. El examen y la evaluación de la información. La comunicación de los resultados. El seguimiento.

37 Documentación de la planeación El establecimiento de los objetivos y el alcance del trabajo. La obtención de información de apoyo sobre las actividades que se auditarán. La determinación de los recursos necesarios para realizar la auditoría. El establecimiento de la comunicación necesaria con todos los que estarán involucrados en la auditoría.

38 Documentación de la planeación Realizar una inspección física para familiarizarse con las actividades y controles a auditar. La preparación por escrito del programa de auditoría. La determinación de cómo, cuando y a quién se le comunicaran los resultados de la auditoría. La obtención de la aprobación del plan de trabajo de la auditoría.

39 Consideraciones importantes para la planeación Para lograr una adecuada planeación, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Realizar una investigación preliminar y algunas entrevistas previas. En base a lo anterior, planear el programa de trabajo, el cual deberá incluir: tiempos, costos personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la auditoría.

40 Revisión preliminar - informal Objetivo.- Es el de obtener la información necesaria para que el auditor pueda tomar la decisión de cómo proceder en la auditoría. Significa la recolección de evidencias por medio de entrevistas con el personal de la instalación, la observación de las actividades en la instalación y la revisión de la documentación preliminar.

41 Revisión preliminar - informal Las evidencias se pueden recolectar por medio de cuestionarios iniciales, o bien por medio de entrevistas, o con documentación narrativa. Debemos considerar que está será sólo una información inicial que nos permitirá elaborar el plan de trabajo, la cual se profundizará en el desarrollo de la auditoría.

42 Taller y trabajo FINAL Ejecutar la metodología adecuada para la realización de la Auditoria de sistemas computacionales de una empresa real, la misma que por cuestiones didácticas debe ser aplicable de evaluar la auditoría de sistemas computacionales. Los pasos para la misma se reflejarán en la wiki de Auditoria Informática