Metodología de una Auditoría de Sistemas Computacionales

METODOLOGIA Para que nos permita 3 Realizar un proceso de ... 1.1.Planeación de la Auditoria de Sistemas Planeación de la Auditoria de Sistemas Comput...

37 downloads 370 Views 355KB Size
Universidad Autónoma de los Andes Evaluación y Auditoría Informática Unidad 1: Metodología de una Auditoría de Sistemas Computacionales - ASC Ing. John Toasa Espinoza http://waudinfingjohntoasa.wikispaces.com [email protected] Puyo, 2010

Agenda • • • • • • • • • • •

Objetivo Conceptos Objetivos generales de la auditoría Objetivos generales de la ASC Principales áreas, actividades y resultados que se auditan en la Auditoría y en la ASC. Que se debe evaluar en una ASC Normas éticoético-morales del Auditor Informático Métodos, técnicas, herramientas y procedimientos de auditoría de sistemas Representación esquemática de la Metodología para realizar ASC (metodología y planeación) Conclusiones Taller y trabajo final (caso práctico)

Objetivo Proponer una metodología específica que puede ser aplicable a la realización de cualquier tipo de auditoría en el campo de sistemas computacionales, computacionales, con el propósito de mostrar una forma concreta de llevar a cabo la planeación, selección de herramientas, desarrollo y presentación de los resultados de estas auditorías. auditorías.

Conceptos…

Según: Real Academia Española

Qué es Auditoria ? Es la revisión independiente de alguna o algunas actividades, funciones específicas, específicas, resultados u operaciones de una entidad administrativa administrativa,, realizada por un profesional de auditoría, auditoría, con el propósito de evaluar su correcta funcionalidad, y con base en ese análisis análisis,, poder emitir una opinión autorizada sobre la razonabilidad de sus resultados y el cumplimiento de sus operaciones. operaciones.

Conceptos…

Según: Real Academia Española

Qué es Auditoría Informática ó Auditoría de Sistemas ó Auditoría de Sistemas Computacionales ó ……. ……. . ?????? Es la revisión técnica y especializada que se realiza a los sistemas de una empresa, con el propósito de evaluar el uso adecuado de estos sistemas en relación con los servicios que proporcionan estos sistemas.. sistemas

Conceptos…

Según: Real Academia Española

Qué es un Auditor ? Persona capacitada para realizar auditorías en empresas u otras instituciones instituciones..

En el informe los auditores dan una opinión independiente de la organización organización..

Objetivos generales de la Auditoria 1. Realizar una revisión independiente de las actividades.. actividades 2. Hacer una revisión especializada de las actividades.. actividades 3. Evaluar el cumplimiento de las actividades actividades.. 4. Dictaminar de manera profesional e independiente sobre los resultados obtenidos en esas actividades. actividades.

Objetivos generales de la ASC 1. Realizar una evaluación con personal multidisciplinario y capacitado en el área de sistemas.. sistemas 2. Hacer una evaluación sobre el uso de los recurso financieros financieros.. 3. Evaluar el uso y aprovechamiento de los equipos de cómputo. cómputo. 4. Evaluar el aprovechamiento de los sistemas de procesamiento.. procesamiento

Objetivos generales de la ASC 5. Evaluar el cumplimiento de las actividades actividades.. 6. Realizar la evaluación de las áreas con el apoyo de los sistemas computacionales. computacionales.

Objetivos generales de la Auditoría

Se relacionan unos con otros

Objetivos generales de la ASC

Qué se debe evaluar en una ASC ? • • • • • • • • •

Hardware Software Gestión informática Información Diseño de sistemas Bases de datos Seguridad Redes de cómputo Especializadas

Clasificación de la ASC 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11.

Auditoría con la computadora Auditoría sin la computadora Auditoría a la gestión informática Auditoría al sistema de cómputo Auditoría alrededor de la computadora Auditoría de la seguridad de sistemas computacionales Auditoría a los sistemas de redes Auditoría integral a los centros de cómputo Auditoría ISOISO-9000 a los sistemas de computacionales Auditoría Outsourcing Auditoría ergonómica de sistemas computacionales

Métodos, técnicas, herramientas y procedimientos de ASC 1.

Instrumentos de recopilación de datos aplicables en la auditoría de sistemas. sistemas. • Entrevistas, cuestionarios, encuestas, observación, inventarios, muestreo, experimentación. experimentación.

2.

Técnicas de evaluación aplicables en la auditoría de sistemas.. sistemas • Examen, inspección, confirmación, comparación, revisión documental.. documental

3.

Técnicas especiales para la auditoría de sistemas computacionales.. computacionales • Guías de evaluación, ponderación, simulación, evaluación, diagrama del círculo de sistemas, diagramas de sistemas, matriz de evaluación, programas de verificación, seguimiento de programación.. programación

Normas ético – morales profesionales del auditor Estas son las normas ético ético--morales que regulan la actuación del auditor. auditor. –Normas para la capacitación del auditor. –Normas para la conducta observable del auditor. –Normas para el desarrollo del trabajo del auditor. –Normas para la emisión del informe de auditoría.

Representación esquemática de la metodología de ASC METODOLOGIA 3 Planeación

Ejecución

Dictamen Para que nos permita EJECUTAR la METODOLOGIA

2

Realizar un proceso de PLANEACION

1

Consideraciones metodológicas • Una metodología es necesaria para que un equipo de profesionales alcancen un resultado homogéneo en equipos de trabajo heterogéneos.. heterogéneos • Las metodologías usadas por un profesional dicen mucho de su forma de entender su trabajo.. trabajo La informática ha sido tradicionalmente una materia compleja en todos sus aspectos.

Conceptos…

Según: Real Academia Española

• Método, Método, es el modo de decir o hacer una cosa. • Metodología Metodología,, conjunto de métodos que se siguen en una investigación científica o en una exposición doctrinal doctrinal.. – Esto significa que cualquier proceso científico debe estar sujeto a una disciplina de proceso definida con anterioridad.. anterioridad – Son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz

Conceptos…

Según: Real Academia Española

• Planeación, Planeación, es el proceso de decidir de antemano qué se hará y de qué manera, la cual tiene una implicación futura futura.. • Plan Plan,, es un método detallado formulado de antemano, para hacer algo algo.. • Programa Programa,, son cursos de acción detallados que señalan los pasos específicos que habrán de realizarse para lograr los objetivos, objetivos, indicando la secuencia cronológica y los tiempos de duración de dichos pasos. pasos.

Conceptos…

Según: Real Academia Española

• Actividad, Actividad, es el conjunto de operaciones ejecutadas ó de actos, desarrollados por una o varias personas y que contribuyen al logro de una función.. función • Tarea Tarea,, es la subdivisión del trabajo para concretizar una actividad actividad.. • Plan de trabajo, trabajo, es la representación gráfica en la que se muestran las actividades que integran un proyecto proyecto,, el periodo de tiempo necesario para realizar cada una de ellas y sus responsables así como los de cada actividad actividad..

Etapas de la metodología de ASC 1. Planeación de la Auditoria de Sistemas Computacionales omputacionales.. 2. Ejecución de la Auditoria de Sistemas Computacionales omputacionales.. 3. Dictamen de la Auditoria de Sistemas Computacionales omputacionales..

1. Planeación de la Auditoria de Sistemas Computacionales • El primer paso para realizar una auditoría en sistemas computacionales es definir las actividades necesarias para su ejecución, ejecución, lo cual se logrará mediante una adecuada planeación de éstas. éstas. • Esta fase de planeación culmina con la elaboración planes,, programas y presupuestos en formal de planes documentos que sirven para consulta y control de las actividades de revisión revisión..

1. Planeación de la Auditoria de Sistemas Computacionales • Se debe iniciar con el planteamiento de las siguientes interrogantes interrogantes:: – ¿Porqué se realizará la auditoría? – ¿Se debe hacer una visita preliminar al área de sistemas? – ¿Cuál es el objetivo que se pretende alcanzar con esta auditoría?

1. Planeación de la Auditoria de Sistemas Computacionales P.1 Identificar el origen de la auditoría. auditoría. P.2 Realizar una visita preliminar al área que será evaluada.. evaluada P.3 Establecer los objetivos de la auditoría. auditoría. P.4 Determinar los puntos que serán evaluados en la auditoría.. auditoría P.5 Elaborar planes, programas y presupuestos para realizar la auditoría auditoría.. P.6 Identificar y seleccionar los métodos, procedimientos, instrumentos y herramientas necesarias para la auditoría auditoría.. P.7 Asignar los recursos y sistemas computacionales para la auditoría auditoría..

2. Ejecución de la Auditoria de Sistemas Computacionales • Esta determinada por las características concretas, los puntos y requerimientos que se estimaron en la etapa de planeación. planeación. • Se debe aplicar de acuerdo con la planeación de la auditoría y de acuerdo a las

características específicas de la auditoría que se trate.

2. Ejecución de la Auditoria de Sistemas Computacionales E.1 Realizar las acciones programadas para la auditoría.. auditoría E.2 Aplicar los instrumentos y herramientas para la auditoría auditoría.. E.3 Identificar y elaborar los documentos de desviaciones encontradas. encontradas. E.4 Elaborar el dictamen preliminar y presentarlo a discusión discusión.. E.5 Integrar el legado de papeles de trabajo de la auditoría.. auditoría

3. Dictamen de la Auditoria de Sistemas Computacionales D.1 Analizar la información y elaborar un informe de situaciones detectadas. detectadas. - El propósito es que el auditor elabore su borrador y comente las desviaciones con los auditados auditados.. . - Después, debe elaborar las modificaciones pertinentes pertinentes..

D.2 Elaborar el dictamen final. final. - Se presenta a los directivos del área auditada auditada..

D.3 Presentar el informe de auditoría. auditoría. - Se presenta al más alto directivo de la empresa. empresa. - En medio de una reunión directiva directiva..

3. Dictamen de la Auditoria de Sistemas Computacionales D.1 Analizar la información y elaborar un informe de situaciones detectadas. detectadas. D.1.1 Analizar los papeles de trabajo. trabajo. D.1.2 Señalar las situaciones encontradas encontradas.. D.1.3 Comentar las situaciones encontradas con el personal de las áreas. áreas. D.1.4 Realizar las modificaciones necesarias. necesarias. D.1.5 Elaborar un documento de situaciones relevantes.. relevantes

3. Dictamen de la Auditoria de Sistemas Computacionales D.2 Elaborar el dictamen final. D.2.1 Analizar la información y elaborar un documento de desviaciones detectadas. D.2.2 Elaborar el informe y el dictamen formales. D.2.3 Comentar el informe y el dictamen con los directivos del área. D.2.4 Realizar las modificaciones necesarias.

3. Dictamen de la Auditoria de Sistemas Computacionales D.3 Presentar el informe de auditoría. D.3.1 Elaboración del dictamen formal. D.3.2 Integración del informe de auditoría. D.3.3 Presentación del informe de auditoría. D.3.4 Integración de los papeles de trabajo.

Propuesta de papeles de trabajo para la ASC 1. 2. 3. 4. 5. 6. 7.

Hoja de identificación Ïndice de contenidos de los papeles de trabajo Dictamen preliminar (borrador) Resumen de desviaciones detectadas (las más importantes) Situaciones encontradas (situaciones, causas y soluciones) Programa de trabajo de auditoría Guía de auditoría

Propuesta de papeles de trabajo para la ASC 8. 9. 10. 11. 12. 13. 14.

Inventario de SW Inventario de HW Inventario de consumibles Manual de organización Descripción de puestos Reportes de pruebas y resultados Respaldos (backups) de datos, disquets y programas de aplicación de auditoría 15. Respaldos (backups) de las BD y de los sistemas

Propuesta de papeles de trabajo para la ASC 16. Guías de claves para el señalamiento de los papeles de trabajo 17. Cuadros y estadísticas concentradores de información 18. Anexos de recopilación de información 19. Diagramas de flujo, de programación y de desarrollo de sistemas 20. Testimoniales, actas y documentos legales de comprobación y confirmación 21. Análisis y estadísticas de resultados, datos y pruebas de comportamiento del sistema. 22. Otros documentos de apoyo para el auditor

Propuesta de puntos que se deben evaluar en una ASC 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11.

Auditoría con la computadora Auditoría sin la computadora Auditoría a la gestión informática del área de sistemas Auditoría al sistema computacional Auditoría alrededor de la computadora Auditoría de la seguridad de los sistemas computacionales Auditoría a los sistemas de redes Auditoría outsourcing en los sistemas computacionales Auditoría ISO 9000 a los sistemas computacionales Auditoría ergonómica de los sistemas de cómputo Auditoría integral a los centros de computo

Planeación de la ASC • Para hacer una adecuada planeación de la ASC hay que seguir una serie de pasos previos que permitan dimensionar el tamaño y características del área dentro del organismo a auditar, sus sistemas, organización y equipos. equipos. • La planeación permite determinar: – – – – –

Personal (número y características). características). Herramientas necesarias necesarias.. Tiempo y costo. costo. Definir el alcance y los objetivos objetivos.. Poder elaborar el contrato de servicios. servicios.

Planeación de la ASC Eje 1: Propuesta de servicios para ASC • • • • •

ANTECEDENTES OBJETIVOS DE LA AUDITORÍA INFORMÁTICA ALCANCES DEL PROYECTO METODOLOGÍA TIEMPO Y COSTO

Planeación de la ASC Eje 2: Propuesta de contrato de ASC 1. QUIENES CELEBRAN 2. QUÉ DECLARAN 3. CUÁLES SON LAS CLÁUSULAS – – – – – –

Primera. Objeto Segunda. Alcance del trabajo Tercera. Programa de trabajo Cuarta. Honorarios. Quinta. Plazo del trabajo Sexta. Jurisdicción, etc

Planeación de la ASC • Una inadecuada planeación provocará una serie de problemas que pueden impedir que se cumpla con la auditoría ó bien hacer que NO se cumpla con profesionalismo. • El trabajo de Auditor Informático deberá incluir incluir:: – – – –

La planeación de la ASC. ASC. El examen y la evaluación de la información información.. La comunicación de los resultados resultados.. El seguimiento seguimiento..

Documentación de la planeación • El establecimiento de los objetivos y el alcance del trabajo. • La obtención de información de apoyo sobre auditarán. las actividades que se auditarán. • La determinación de los recursos necesarios para realizar la auditoría auditoría.. • El establecimiento de la comunicación necesaria con todos los que estarán involucrados en la auditoría auditoría..

Documentación de la planeación • Realizar una inspección física para familiarizarse con las actividades y controles a auditar. • La preparación por escrito del programa de auditoría. • La determinación de cómo cómo,, cuando y a quién se le comunicaran los resultados de la auditoría. • La obtención de la aprobación del plan de trabajo de la auditoría.

Consideraciones importantes para la planeación • Para lograr una adecuada planeación, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar evaluar.. • Realizar una investigación preliminar y algunas entrevistas previas. previas. • En base a lo anterior, planear el programa de trabajo, el cual deberá incluir incluir:: tiempos, costos personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la auditoría.. auditoría

Revisión preliminar - informal • Objetivo. Objetivo.- Es el de obtener la información necesaria para que el auditor pueda tomar la decisión de cómo proceder en la auditoría. • Significa la recolección de evidencias por medio de entrevistas con el personal de la instalación, la observación de las actividades en la instalación y la revisión de la documentación preliminar preliminar..

Revisión preliminar - informal • Las evidencias se pueden recolectar por medio de cuestionarios iniciales, o bien por medio de entrevistas,, o con documentación narrativa entrevistas narrativa.. • Debemos considerar que está será sólo una información inicial que nos permitirá elaborar el plan de trabajo, la cual se profundizará en el desarrollo de la auditoría. auditoría.

Taller y trabajo FINAL Ejecutar la metodología adecuada para la realización de la Auditoria de sistemas computacionales de una empresa real, la misma que por cuestiones didácticas debe ser aplicable de evaluar la auditoría de sistemas computacionales.. Los pasos para la misma se computacionales reflejarán en la wiki de Auditoria Informática