Clase de auditoría Informática
CLASES Y TIPOS DE AUDITORÍA INFORMÁTICA Las diferentes tipos de auditoría informática que existen en nuestro país son: Auditoría informática como soporte a la auditoría tradicional, financiera, etc. Auditoría informática en el concepto anterior, pero añadiendo la función de auditoría de la función de gestión del entorno informático. Auditoría informática como función independiente, enfocada hacia la obtención de la situación actual de un entorno de información e informático en aspectos de seguridad y riesgo, eficiencia y veracidad e integridad. Las acepciones anteriores desde un punto de vista interno y externo. Auditoría como función de control dentro de un departamento de sistemas.
Proceso Solicitud de la auditoría Llenado del instrumento de autoevaluación (manual que construye la organización con las categorías y criterios de la auditoría Informática) Solicitud de fechas para la visita del Auditor Propuesta de agenda de trabajo(visita, con la descripción de las actividades, hora y fecha) Visita del/los Auditores Dictamen o recomendaciones( desarrolla la comisión de Auditores)
proceso Auditor Manual de levantamiento de información CSC Autoevaluación Auditoría Secciones Agenda de trabajo Agenda de visita Redes Desarrollo de Sistema
Auditoría Informática Departamento de Informática Documentación necesaria para el proceso de la Auditoría Función del Auditor Documentación necesaria para levantar la Auditoría
Documentación mínima necesaria Manual de Autoevaluación Manual del auditor Reporte de la Auditoría Informática
Categorías Categorías que componen la auditoría informática 1.Evaluación de la dirección de Informática 2.- Evaluación de los Sistemas 3.-Evaluación de los Equipos 4.-Evaluación de la Seguridad
II ALCANCES DEL PROYECTO El alcance del proyecto comprende:
1.-Evaluación de la Dirección de Informática Su organización Funciones Estructura Cumplimiento de los objetivos Recursos humanos Normas y políticas Capacitación Planes de trabajo Controles Estándares Condiciones de trabajo Situación presupuestal y financiera
2.-Evaluación de los sistemas: Evaluación de los diferentes sistemas de operación (flujo, procedimientos, documentación, organización de archivos, estándares de programación, controles, utilización de los sistemas, opiniones de los usuarios). Evaluación de avances de los sistemas en desarrollo y congruencia con el diseño general, control de proyectos, modularidad de los sistemas. Seguridad lógica de los sistemas, confidencialidad y respaldos. Derechos de autor y secretos industriales, de los sistemas propios y los utilizados por la organización. Evaluación de las bases de datos
3.- Evaluación de los equipos: Adquisición. Estandarización. Controles. Nuevos proyectos de adquisición. Almacenamiento. Comunicación. Redes. Equipos adicionales.
4.- Evaluación de la seguridad: Seguridad lógica y confidencialidad. Seguridad en el personal. Seguridad física. Seguridad contra virus. Seguros. Seguridad en la utilización en los equipos. Seguridad en la restauración de los equipos y en los sistemas. Plan de contingencia y procedimientos en caso de desastre.
Metodología de investigación
Metodología de la investigación La metodología deberá incluir: 1. Evaluación de la dirección de informática. 2. Evaluación de los sistemas tanto en operación como en desarrollo. 3. Evaluación de los equipos 4. Elaboración del informe final
Evaluación de la dirección de informática Para la evaluación de la dirección de informática se llevarán a cabo las siguientes actividades: Solicitud de los manuales administrativos, organización, funciones, planes, políticas, estándares utilizados y programas de trabajo. Solicitud de costos y presupuesto de informática. Elaboración de un cuestionario para la evaluación de la dirección. Aplicación de cuestionario al personal, y realización de entrevistas. Entrevistas a líderes de proyectos y a usuarios más relevantes de la dirección de informática. Análisis y evaluación de la información. Elaboración del informe.
Evaluación de los sistemas tanto en operación como en desarrollo Estudios de viabilidad y costos/beneficio. Solicitud de análisis y diseño de los sistemas en operación y en desarrollo. Solicitud de documentación de los sistemas de operación (manuales técnicos de operación, de usuarios, de diseños.) Solicitud del plan de trabajo. Solicitud de contratos de compra o renta de software. Solicitud de licencias y derechos de autor. Plan de contingencia y recuperación en casos de desastre. Recopilación y análisis de los procedimientos administrativos de cada sistema. Análisis de base de datos. Análisis de seguridad lógica y confidencial. Evolución de los proyectos en desarrollo, prioridades y personal asignado.
Evaluación de los sistemas tanto en operación como en desarrollo Evaluación de la participación de auditoría interna. Evaluación de controles. Evaluación de las licencias, la obtención de derechos de autor y de la confidencialidad de la información. Entrevista con usuarios de los sistemas Evaluación directa de la información obtenida contra las necesidades y rendimientos con los usuarios. Análisis objetivo de la estructuración y flujo de los programas. Análisis y evaluación de la información compilada. Elaboración de informe.
Evaluación de Seguridad Seguridad lógica y confidencialidad Seguridad en el personal Seguridad física Seguridad contra virus Seguros Seguridad en la utilización de los equipos Seguridad en restauración de los equipos y los sistemas Plan de contingencia y procedimientos en caso de desastre
Manual de la Autoevaluación Es la documentación necesaria para evaluar el con la información anterior a presentar de manera ordenada al auditor
Formatos de la Auditoría PROGRAMA DE AUDITORÍA INFORMATICA ORGANISMO: HOJA NUM: DE FECHA DE FORMULACIÓN FASE DESCRIPCIÓN ACTIVIDAD NUM. DEL PERSONAL PARTICIPANTE PERIODO ESTIMADO DÍAS HAB. EST. DÍAS HOM. EST.
Fases de la Auditoría Informática
Fases de la Auditoría La auditoría informática es el proceso de recolección y evaluación de evidencias La auditoría informática sigue los objetivos tradicionales de la auditoría: aquellos que son de la auditoría externa de salvaguarda de los activos y integridad de los datos, y los objetivos gerenciales La auditoría interna es una función independiente de la evaluación que se establece dentro de la organización para examinar y evaluar sus actividades
Antes de iniciar una auditoría se debe hacer una adecuada planeación. Hay que seguir un serie de pasos previos que nos permitirán dimensionar el tamaño y características del área dentro del organismo a auditar, sus sistemas, organización y equipo.
El trabajo de auditoría deberá de incluir la planeación de auditoría, el examen y evaluación de la información, la comunicación de los resultados y el seguimiento.
Planeación de la Auditoría Informática
APARTADO AUDITOR
Guía de entrevista Nombre del presupuesto. Puesto del jefe inmediato. Puesto a que se reporta. Puestos de las personas que reportan al entrevistado. Número de personas que reportan al entrevistado. Describa brevemente las actividades diarias de su puesto. Actividades periódicas. Actividades eventuales. Con que manuales cuenta para el desempeño de su puesto? Cuáles políticas se tienen establecidas para el puesto? Señale las lagunas que considere que existe en la organización En caso de que el entrevistado mencione cargas de trabajo, Cómo las establece? Cómo las controla?
Evaluación de los Sistemas Seguridad Lógica de los sistemas, confidencialidad y respaldos. Derechos de autor y secretos industriales, de los sistemas propios y los utilizados en la organización. Evaluación de las bases de datos
Evaluación del proceso de datos y de los equipos de computo Controles Los datos son uno de los recursos mas valiosos de las organizaciones Necesitan ser controlados y auditados con el mismo cuidado que los demás inventarios de la organización
Controles Políticas de respaldo Políticas y procedimientos Políticas de revisión de bitácora (soporte técnico) Control de licencias de software Políticas de seguridad del Site
Políticas de respaldo Controles Contar con políticas formales por escrito para efectuar los respaldos mensuales, semanales y diarios ( manual políticas de respaldos que incluya formato de registro y estadísticas) Todos los medios magnéticos de respaldo no deben estar almacenados en el site Debe tenerse el acceso restringido al área de donde se tiene almacenadas los medios magnéticos Se debe tener identificadas los medios magnéticos por fecha. Políticas y procedimientos Políticas y procedimientos contar con una política y procedimientos actualizados de la administración del área de sistemas
Evaluación de los equipos Para la evaluación de los equipos se llevaran a cabo las siguientes actividades: Solicitud de los estudios de viabilidad, costo/beneficio y característica de los equipos actuales, proyectos sobre adquisición o ampliación de equipos y su actualización. Solicitud de contratos de compra o renta de equipos. Solicitud de contratos de mantenimiento de los equipos. Solicitud de contratos y convenios de respaldo. Solicitud de contratos de seguro. Bitácoras de los equipos. Elaboración de un cuestionario sobre la utilización de los equipos, periféricos y su seguridad. Visita a la instalación y a los lugares de mantenimiento de archivos magnéticos. Visita técnica de comprobación de seguridad física y lógica de las instalaciones. Evaluación de los sistemas de seguridad de acceso. Evaluación de la información recopilada, obtención de gráficas, porcentaje de utilización de los equipos y su justificación. Elaboración de informe.
Evaluación de los Sistemas Evaluación de los diferentes sistemas en operación(flujo, procedimientos, documentación, organización de archivos, estándares de programación, controles y utilización de los sistemas) Opiniones de los Usuarios Evaluaciones de los avances de los sistemas en desarrollo y congruencia con el diseño general, control de proyectos, modularidad de los sistemas. Evaluación de Prioridades y recursos asignados(humanos y equipos de cómputo)
EVALUACIÓN DE LOS SISTEMAS
Evaluación de los sistemas Los sistemas deberán ser evaluados de acuerdo con el ciclo de vida que normalmente sigue. Para ello se recomiendan los siguientes pasos: A. Definición del problema y requerimientos de los usuarios. Examinar y evaluar lo problemas y características del sistema actual, sea manual, electrónico, así mismo los requerimientos B. Estudio de factibilidad desarrollo de los objetivos y modelo lógico del sistema análisis preliminar de las diferentes
Guía de entrevista 1. Nombre del presupuesto. 2. Puesto del jefe inmediato. 3. Puesto a que se reporta. 4. Puestos de las personas que reportan al entrevistado. 5. Número de personas que reportan al entrevistado. 6. Describa brevemente las actividades diarias de su puesto. 7. Actividades periódicas. 8. Actividades eventuales. 9. Con que manuales cuenta para el desempeño de su puesto? 10. Cuáles políticas se tienen establecidas para el puesto? 11. Señale las lagunas que considere que existe en la organización 12. En caso de que el entrevistado mencione cargas de trabajo, Cómo las establece? 13. Cómo las controla?
1. Cómo se deciden las políticas que han de implantarse? 2. Cómo reciben las instituciones de los trabajos encomendados? 3. Con que frecuencia recibe capacitación y de qué tipo? 4. Sobre qué tema le gustaría recibir capacitación? 5. Mencione la capacitación obtenida y dada a su personal durante el último año. 6. Cómo considera el ambiente de trabajo? 7. Observación NOTA: En caso de que se trate de una entrevista solicitada por el personal de informática, tiene que ser confidencial y no deberá formularse las preguntas iniciales. El entrevistado deberá hablar abiertamente fomentado sus opiniones y comentarios.
Formato de evaluación 1. Existe una forma de proyectos de sistema de procesamiento de información y fechas programadas de implantación que pueda ser considerados como plan maestro? 2. Esta relacionado el plan maestro con un plan general de desarrollo de la dependencia? 3. Ofrece el plan maestro la atención de solicitudes urgentes de los usuarios? 4. Asigna el plan maestro un porcentaje de tiempo total de producción al reproceso o fallas de equipos? Poner la lista de proyectos a corto y largo plazos. Poner una lista de sistemas en procesos de periodicidad y de usuarios. 5. Quién autoriza los proyectos? 6. Cómo se asignan los recursos? 7. Cómo se estiman los tiempos de duración? 8. Quién interviene en la planeación de los proyectos? 9. Cómo se calcula el presupuesto del proyecto? 10. Qué técnicas se usan en el control de los proyectos? 11. Quién asigna las prioridades? 12. Cómo se asignan las prioridades? 13. Cómo se controla el avance del proyecto? 14. Con que periodicidad se revisa el reporte de avance del proyecto?
15. Cómo se estima el rendimiento del personal? 16. Con que frecuencia se estiman los costos del proyecto para compararlo con el presupuestado? 17. Qué acciones correctivas en caso de desviaciones? 18. Qué pasos y técnicas se siguen en la planeación y control de los proyectos? Enumérelos secuencialmente. ( ) Determinación de los objetivos. ( ) Señalamiento de las políticas. ( ) Designación del funcionamiento responsable del proyecto. ( ) Integración del grupo de trabajo. ( ) Integración de un comité de decisiones. ( ) Desarrollo de la Investigación. ( ) Documentación de la investigación. ( ) Factibilidad de los sistemas. ( ) Análisis y valuación de propuestas. ( ) Selección de equipos. Se lleva acabo las revisiones periódicas de los sistemas para determinar si aun cumple con los objetivos para los cuales fueron diseñados? De análisis SI ( ) NO ( ) De programación SI ( ) NO ( ) Observaciones
Control de proyectos CONTROL DE PROYECTOS NOMBRE DEL PROYECTO PROYECTO NUM. COORDINADOR FECHA (anotar en la primera línea las fechas estimadas y en la segunda las reales) Núm. Actividades Responsable Enero Feb. Marzo Abril Mayo Junio Julio Ago. Sept. Oct. Nov. Dic.
Descripción de Informes. FECHA: SISTEMA NOMBRE DEL INFORME PROPÓSITO QUIÉN LO FORMULA VOLÚMEN EN HOJAS FECHA EN QUE DEBE PRESENTARSE OPORTUNIDAD CONFIABILIDAD COMPLETO CLAVE: PERIODICIDAD: EN VIGOR DESDE: NÚM. COPIAS: COPIA USUARIO USO ORIGINAL 1ª. 2ª. 3ª. 4ª. NÚM. DESCRIPCIÓN DEL PROCEDIMIENTO * ANEXAR COPIA FOTOSTÁTICA DEL INFORME Y DEL DIAGRAMA DE FLUJO ANALIZÓ PÁG. DE
EVALUACIÓN DE FORMAS NOMBRE DE LA FORMA FRECUENCIA DE USO ELABORADO POR NÚM. DE LA FORMA NÚM. DE COPIAS USUARIOS CANT. IMPRESA CAT. INV. PERIODO ESTIMADO DE USO OBSERVACIONES FACTORES A EVALUAR INFORMACION EMPRESA IMAGEN TERMINOLOGÍA ESTÁNDAR SI NO PROFESIONAL Y CORRECTA SÍ NO EXISTE MANUAL DE OPERACIÓN SI NO CALIDAD APROPIADA DEL PAPEL SÍ NO AUTODESCRIPTIVA SI NO BUENA CALIDAD DE IMPRESIÓN SÍ NO FUENTE DE INFORMACIÓN DEBIDAMENTE IDENTIFICADA SÍ NO COSTO REQUIERE OTROS DATOS DE REFERENCIA SÍ NO MAXIMO APROVECHAMEINTO DE PAPEL SÍ NO TIENE SUFICIENTES ESPACIOS SÍ NO MÁXIMO APROVECHAMIENTO DE IMPRESIÓN SÍ NO DATOS QUE CONTIENE CUMPLE CON LAS NECESIDADES SÍ NO NECESITA DATOS ADICIONALES SÍ NO DUPLICA DATOS DE OTRAS FORMAS SÍ NO TIENE DATOS INNECESARIOS SÍ NO EN CASO DE HABER CONTESTADO NO A ALGUNA PREGUNTA, ANOTE LAS OPERACIONES.