Transcript auditoriainformatica

Auditoría en
Informática
INFORMATICA
La Informática es la ciencia aplicada que abarca el
estudio y aplicación del tratamiento automático de la
información, utilizando dispositivos electrónicos y
sistemas computacionales. También está definida como
el procesamiento automático de la información.
INFORMATICA
HARDWARE
SOFTWARE
REDES
ORGANIZACIONES
SEGURIDADES
CONTINGENCIAS
Hardware
Corresponde a todas las partes físicas y tangibles de una computadora: sus
componentes eléctricos, electrónicos, electromecánicos y mecánicos; sus
cables, gabinetes o cajas, periféricos de todo tipo y cualquier otro elemento
físico involucrado; contrariamente al soporte lógico e intangible que es llamado
software.
Software
Software
Se refiere al equipamiento lógico o soporte lógico de una computadora digital,
y comprende el conjunto de los componentes lógicos necesarios para hacer
posible la realización de una tarea específica, en contraposición a los
componentes físicos del sistema(hardware).
Red Informatica
Una red de computadoras, también llamada red de ordenadores o red
informática, es un conjunto de equipos (computadoras y/o dispositivos)
conectados por medio de cables, señales, ondas o cualquier otro método de
transporte de datos, que comparten información (archivos), recursos (CDROM, impresoras, etc.), servicios (acceso a internet, e-mail, chat, juegos),
etc.
La seguridad informática
Consiste en asegurar que los recursos del sistema de información (material
informático o programas) de una organización sean utilizados de la manera
que se decidió y que el acceso a la información allí contenida, así como su
modificación, sólo sea posible a las personas que se encuentren acreditadas
y dentro de los límites de su autorización.
Estudio y análisis de las políticas de seguridad
•Responsabilidades de uso y derechos
•Responsabilidad de Uso
•Responsabilidad de la empresa
•Responsabilidades del Usuario
•Aspectos de influencia de las políticas de seguridad
•Cuentas, perfiles y autorizaciones
•Control de acceso
•Uso adecuado de software
•Uso adecuado de recursos materiales y hardware
•Respaldos
Las organizaciones
Son sistemas sociales diseñados para lograr metas y objetivos por medio de los
recursos humanos o de la gestión del talento humano y de otro tipo. Están
compuestas por subsistemas interrelacionados que cumplen funciones
especializadas. Convenio sistemático entre personas para lograr algún
propósito específico. Las Organizaciones son el objeto de estudio de la Ciencia
de la Administración, y a su vez de algunas áreas de estudio de otras disciplinas
como la Sociología, la Economía y la Psicología.
Plan de contingencia
Un plan de contingencia es una presentación para tomar acciones específicas
cuando surjan problemas o una condición que no este considerado en el proceso
de planeación y ejecución normal.
Un plan de contingencia contempla tres tipos de acciones, las cuales son:
Prevención: Conjunto de acciones a realizar para prevenir cualquier contingencia
que afecte la continuidad operativa, ya sea en forma parcial o total. Esta vela por
reducir el impacto, permitiendo restablecer a la brevedad posible los diferentes
aspectos reducidos.
Detección: Deben contener el daño en el momento, así como limitarlo tanto como
sea posible contemplando todos los desastres naturales y eventos no
considerados.
Recuperación: Abarcan el mantenimiento de partes críticas entre la pérdida de
los recursos, así como de su recuperación o restauración
Auditoría informática
“
LAS PERSONAS NO SUELEN HACER AQUELLO QUE SE
LE DICE, SINO AQUELLO DONDE SE LES TIENE
CONTROLADO”
Auditoría
Norma AENOR X50-109:
Examen metódico de una situación relativa a un producto, proceso,
organización, en materia de calidad, realizado en cooperación con los
interesados, a fin de verificar la concordancia de la realidad con lo
preestablecido, y la adecuación al objetivo buscado.
Ley 19/1988 de Auditoría de Cuentas:
"... la actividad que, mediante la utilización de determinadas técnicas de
revisión, tiene por objeto la emisión de un informe acerca de la fiabilidad de los
documentos contables auditados; delimitándose, pues, a la mera comprobación
de que los saldos que figuran en sus anotaciones contables concuerdan con los
ofrecidos en el balance y en la cuenta de resultados, ...".
Auditoría Informatica
Proceso metodológico que tiene el propósito principal de evaluar todos los
recursos (humanos, financieros, tecnológicos, etc.) relacionados con la función
de informática para garantizar al negocio que dicho conjunto opera con criterio
de integración y desempeño de niveles altamente satisfactorios para que apoyen
la productividad y rentabilidad de la organización.
El conjunto de acciones que realiza el personal especializado en las áreas de
auditoría y de informática para el aseguramiento continuo de que todos los
recursos de informática operen en un ambiente de seguridad y control eficiente,
con la finalidad de proporcionar a la alta dirección o niveles ejecutivos, la certeza
de que la información que pasa por el área se maneja con los conceptos básicos
de integridad, totalidad, exactitud, confiabilidad, etc.
La verificación de controles en el procesamiento de la información, desarrollo de
sistemas e instalaciones, con el objeto de evaluar su efectividad y presentar
recomendaciones a la gerencia.
Auditoría Informatica
La informática no siempre es auditable
Para serlo debe basarse en estándares
Control Interno
Es un proceso que lleva a cabo el Consejo de
Administración, la dirección y el resto de los miembros de
una entidad, con el objeto de proporcionar un grado
razonable de confianza en la consecución de objetivos de
fiabilidad de la información financiera, eficacia y eficiencia
de las operaciones y cumplimiento de las leyes y las
normas aplicables.
Fases de la Auditoría informática
EXAMEN
DETALLADO
DE AREAS
CRITICAS
REVISION Y
EVALUACION
DE
CONTROLES
ESTUDIO PRELIMINAR
COMUNICACION DE
RESULTADOS
PROGRAMA DE AUDITORIA
FASE I ESTUDIO PRELIMINAR
ACTUACION: AUDITORIA INFORMATICA
AMBITO:
MUNICIPIO DE LA CIUDAD DE BUENOS AIRES
OBJETIVO:
OBTENER INFORMACION BASICA SOBRE LAS ACTIVIDADES INFORMATICAS DE LA INSTITUCION
N.1
PROCEDIMIENTOS
1
Elabore un formulario para visita previa
2
Elabore las comunicaciones del inicio del examen para todos los funcionarios
involucrados en la auditoria
3
Entrevista al personal del área de informática
4
Obtenga organigramas estructurales y funcionales del área objeto del examen
Obtenga información básica utilizando el formulario de visita previa
5
Determine el cumplimiento de objetivos y políticas establecidas para la creación
del area de TICs
6
Obtenga manuales, instructivos, reglamentos, actas y demás documentos que
rigen las actividades del área
7
Soliciten el plan de actividades y determinen el grado de su cumplimiento
8
Solicite un detalle del equipamiento informáticos y equipos de oficina adquirido
para el departamento
P/T
AUDITOR
FECHA
FASE I ESTUDIO PRELIMINAR
OBTENER INFORMACION BASICA SOBRE LAS ACTIVIDADES INFORMATICAS DE
LA INSTITUCION
HERRAMIENTAS Y TÉCNICAS
•Cuestionarios
•Entrevistas
•Checklist
•Rango
•Binaria
•Trazas o Huellas
•Log
PROGRAMA DE AUDITORIA
FASE II REVISION Y EVALUACION DE CONTROLES
ACTUACION: AUDITORIA INFORMATICA
AMBITO:
MUNICIPIO DE LA CIUDAD DE BUENOS AIRES
OBJETIVO:
REVISAR Y EVALUAR LOS CONTROLES Y SEGURIDADES IMPLANTADAS EN EL AREA DE TICS.
N.1
PROCEDIMIENTOS
1
Revisar el procedimiento seguido para la selección y contratación del personal
técnico y establezca las inconsistencias producidas.
2
Verifique selectivamente que se cumpla la estructura y funciones del
Reglamento Orgánico Funcional aprobado.
3
Determine el grado de satisfacción de los usuarios de los sistemas
computarizados mediante la aplicación de cuestionarios o listas de chequeo.
4
Efectué un análisis sobre la ubicación del área TICs dentro de la institución y
determine su conveniencia o no.
5
Complete la recopilación de manuales, instructivos, normas, etc. Y revise
selectivamente su contenido y
aplicación.
6
Prepare el informe de cumplimiento de la fase, dirigido al auditor general.
7
Aplique otros procedimientos que sean necesarios para el cumplimiento de los
objetivos planteados para esta fase.
8
Elabore papeles de trabajo para documentar las desviaciones encontradas.
P/T
AUDITOR
FECHA
Pruebas de Auditoría.
Las pruebas que contribuyen a contar con la suficiente evidencia
de auditoría, son dos: pruebas de control y pruebas sustantivas.
Técnicas de verificación ocular:
• Comparación
• Observación
• Revisión Selectiva
• Rastreo
Técnica de verificación verbal:
• Indagación
Técnica de verificación escrita:
• Análisis
• Conciliación
• Confirmación
Técnicas de verificación documental
• Comprobación
• Computación
Técnica de verificación física:
• Inspección
:
Los papeles de trabajo
Es la documentación que mantiene el auditor sobre los procedimientos aplicados,
sobre las comprobaciones parciales realizadas y sobre las conclusiones
alcanzadas después del examen. En resumen, constituyen la totalidad de los
documentos preparados o recibidos por el auditor.
En las normas técnicas de auditoría se establecen los objetivos principales de los
papeles de trabajo, que son los siguientes:
• Recoger la evidencia obtenida en la ejecución del trabajo, y también la
descripción de los medios que han conducido a formar la opinión del auditor.
• Ser útiles para efectuar la supervisión del trabajo del equipo de auditoría.
• Ayudar al auditor en la ejecución de su trabajo.
• Ser útiles para sistematizar y perfeccionar el desempeño de futuras
auditorías,
• Hacer posible que cualquier persona capacitada pueda supervisar la
actuación realizada
Marcas de auditoría
Las marcas de auditoría son signos o símbolos convencionales que utiliza el auditor,
para identificar el tipo de procedimiento, tarea o pruebas realizadas en la ejecución de un
examen. El uso de marcas simples facilitan su entendimiento.
PROGRAMA DE AUDITORIA
FASE III EXAMEN DETALLADO DE AREAS CRITICAS
ACTUACION: AUDITORIA INFORMATICA
AMBITO:
MUNICIPIO DE LA CIUDAD DE BUENOS AIRES
OBJETIVO:
REALIZAR UN EXAMEN DETALLADO DE LAS AREAS CRITICAS Y DESARROLLAR LOS HALLAZGOS CON LAS DEFICIENCIAS
ENCONTRADAS.
N.1
1
PROCEDIMIENTOS
SISTEMAS
Mediante diagramas de flujo evalúe el control interno de los sistemas identificados como críticos
en las fases anteriores.
2
Obtenga copias de los reportes y formatos de pantallas ,revise con los usuarios y determine su
conformidad o necesidad de incluir cambios.
3
Mediante datos supuestos solicite que se corran ciertos programas y establezca la confiabilidad
de los resultados.
4
5
6
7
DOCUMENTACION
Prepare un resumen de los manuales instructivos reglamentos y más normatividad vigente.
Efectué una verificación selectiva del contenido, actualización y aplicación de cada uno de los
documentos.
SEGURIDADES
Verifique selectivamente los respaldos o backups y determine si se encuentre actualizados y si
garantizan la integridad de su contenido.
Analice la frecuencia y el procedimiento adoptado por el centro de computo para la obtención de
respaldo.
8
FINALES.
Elabore las hojas de apuntes de las desviaciones obtenidas incluyendo los elementos de un
hallazgo
9
Elabore P/T para evidenciar los errores encontrados.
P/T
AUDITOR
FECHA
Identificar Riesgos, Amenazas y Controles
Identificar riesgos
•Pérdida de información.
•Pérdidas económicas por uso indebido de la aplicación.
•Daño en los recursos de una aplicación (hardware, software, datos y comunicaciones).
•Multas o sanciones.
•Interrupciones prolongadas en las operaciones del negocio.
Identificar amenazas
•Falta de segregación de funciones.
•Mantenimiento deficiente de los equipos.
•Mantenimiento deficiente de la aplicación.
•Accesos inadecuados a los datos y programas.
•Falta de capacitación a los usuarios.
•Cálculos incorrectos.
•Ausencia o desactualización del plan de contingencias.
Identificar controles requeridos en cuanto a los riesgos y amenazas
•Copias internas y externas de datos y programas.
•Acceso restringido a los datos y programas.
•Procedimiento para otorgar y eliminar los accesos a los datos y programas.
•Bitácoras de auditoria (log´s) y la revisión periódica de éstas.
•Pólizas de seguro para los equipos.
•Manuales de la aplicación completos y actualizados.
•Estándares para el desarrollo y mantenimiento de la aplicación.
Comprobacion de Areas Criticas
Documentación.
· Manuales de usuario, técnicos y procedimientos.
Cambios en los programas.
· Solicitud por escrito.
· Pruebas por parte de los usuarios.
· Actualización de los manuales técnicos y de usuarios
· Verificar que los cambios en los programas sean realizados por el personal de
informática o por el proveedor de la aplicación.
Copias de respaldo y recuperaciones.
· Contenidos de las copias.
· Periodicidad de las copias.
· Persona responsable.
· Custodia, almacenamiento, inventario, rotación de la cinta.
Acceso a datos y programas.
· Verificar la lista de usuarios que tiene acceso.
· Revisar el procedimiento para otorgar y eliminar los accesos.
· Analizar la periodicidad de los cambios de los passwords (clave).
Capacitación de los usuarios
Controles en la entrada, proceso y salida
HOJA DE APUNTES No. 1
TITULO DEL HALLAZGO: MANUAL TÉCNICO
REF: P/T
CONDICIÓN.
La empresa no dispone del manual técnico del sistema.
CRITERIO
Todo profesional que desarrolla un nuevo sistema debe elaborar un
manual técnico en donde va plasmado paso a paso las etapas de su
proyecto.
CAUSA
En caso de que decidieran prescindir de los servicios del profesional que
desarrolló el sistema, quien lo reemplace no tendría como solucionar los
problemas.
EFECTO.
La empresa se vuelve dependiente del profesional que desarrolló el
sistema, por lo tanto se convierte en imprescindible.
PROGRAMA DE AUDITORIA
FASE IV:
COMUNICACIÓN DE RESULTADO
ACTUACION: AUDITORIA INFORMATICA
AMBITO:
MUNICIPIO DE LA CIUDAD DE BUENOS AIRES
OBJETIVO:
COMUNICAR LOS RESULTADOS DE LA AUDITORIA
N.1
PROCEDIMIENTOS
1
Preparar una estructura de informe y someta a la aprobación del supervisor del
equipo y auditor general.
2
En base de lasa hojas de apuntes y de la estructura aprobada elabore el
borrador del informe.
3
Prepare convocatorias a sesión final de lectura del borrador del informe a todos
los funcionarios relacionados con el examen.
4
Conjuntamente con el Auditor General y el Supervisor asista a la sesión final de
comunicación de resultados y elabore una acta de esta actuación haciendo
suscribir a los asistentes.
5
Elabore el informe definitivo incluyendo las observaciones vertidas en la sesión
final.
6
Prepare la documentación necesaria para el tramite del informe.
7
Codifique referencia y archive los papeles del trabajo de acuerdo a las
disposiciones internas de auditoria,
P/T
AUDITOR
FECHA
CONVOCATORIA A CONFERENCIA FINAL DE
COMUNICACIÓN DE RESULTADOS
AUDITORÍA INTERNA
CONVOCATORIA
De conformidad con lo dispuesto en el reglamento Interno de la Entidad se convoca a los funcionarios
y ex - funcionarios del instituto de investigación tecnológica -a-la-conferencia final de Resultados quese llevará a cabo el día jueves 27 de mayo del presente año, a las 10HOO en las oficina de la Unidad
de Auditoria Interna, "ubicadas en el edificio laguna azul, cuarto piso entre !a calle la Primera
Constituyente y Loja de la ciudad de Riobamba, en la que se dará a conocer en contenido, del
Borrador del Informe de la Auditoria a la División de Auditoria .
Ing. César Villa Maura.
AUDITOR GENERAL
INFORME DE AUDITORIA
AUDITORIA OPERACIONAL AL AREA DE TICS DEL INSTITUTO
DE INVESTIGACIÓN Y TECNOLOGÍA.
CAPITULO I
INFORMACIÓN INTRODUCTORIA
MOTIVO DE LA AUDITORIA
OBJETIVO DE LA AUDITORÍA
ALCANCE DE LA AUDITORIA
BASE LEGAL
ESTRUCTURA ORGÁNICA DE LA DIVISIÓN DE INFORMÁTICA.
FUNCIONES PRINCIPALES,
CAPITULO II
EVALUACIÓN DE CONTROL INTERNO
ORGANIZACIÓN Y FUNCIONES DE LA DIVISIÓN DE
INFORMÁTICA.
CONCLUSIÓN.
RECOMENDACIÓN No. 1
Estudio y Análisis de la Legislación
Informática aplicable al país
Constitución de la República
Ley de Compañías
Código Civil
Código de Trabajo
Comercio Electrónico
Protección de Datos Personales
Derecho a la Información
Derechos de Autor
Acceso ilícito a sistemas y equipos de informática
Ley de Propiedad Industrial
Valor probatorio de documentos electrónicos en legislación diversa
INFORME
Sugerencias para reforzar el control interno de la entidad y para
optimizar la operación en su conjunto.
Las medidas correctivas adoptadas por la administración para dar
efecto a sus sugerencias.
Conclusión
 La conclusión es la síntesis objetiva de los atributos del hallazgo, redactada
de tal forma que ejerza impacto en la alta dirección.
Si lo ve conveniente puede redactar su primer hallazgo y el esfuerzo de la
administración por esclarecerlo.
Recomendación
Las recomendaciones tienen el alcance de sugerencias formuladas por el
auditor, para corregir los efectos de los hallazgos, en óptica de mejorar
la economicidad, la eficiencia y la efectividad de las operaciones.
Estas deben orientarse a evitar que se repitan las causas de los efectos
hallados y a rescatar los efectos que sean posibles.
Las recomendaciones deben ser practicables, útiles y costeables para
facilitar la toma de decisiones en el proceso de implementación del sistema de
control interno de la organización auditada.

Fuente: Cesar Villa Maura