Metodología de una Auditoría de Sistemas Computacionales
Download
Report
Transcript Metodología de una Auditoría de Sistemas Computacionales
Universidad Autónoma de los Andes
Evaluación y Auditoría Informática
Unidad 1:
Metodología de una Auditoría de Sistemas
Computacionales - ASC
Ing. John Toasa Espinoza
http://uniandesaudinf.wikispaces.com
[email protected]
2012
Agenda
•
•
•
•
•
•
•
•
•
•
•
Objetivo
Conceptos
Objetivos generales de la auditoría
Objetivos generales de la ASC
Principales áreas, actividades y resultados que se auditan
en la Auditoría y en la ASC.
Que se debe evaluar en una ASC
Normas ético-morales del Auditor Informático
Métodos, técnicas, herramientas y procedimientos de
auditoría de sistemas
Representación esquemática de la Metodología para
realizar ASC (metodología y planeación)
Conclusiones
Taller y trabajo final (caso práctico)
Objetivo
Proponer una metodología específica que
puede ser aplicable a la realización de
cualquier tipo de auditoría en el campo de
sistemas computacionales, con el propósito de
mostrar una forma concreta de llevar a cabo la
planeación,
selección
de
herramientas,
desarrollo y presentación de los resultados de
estas auditorías.
Conceptos…
Según: Real Academia Española
Qué es Auditoria ?
Es la revisión independiente de alguna o algunas
actividades, funciones específicas, resultados u
operaciones de una entidad administrativa, realizada por
un profesional de auditoría, con el propósito de
evaluar su correcta funcionalidad, y con base en
ese análisis, poder emitir una opinión autorizada
sobre la razonabilidad de sus resultados y el
cumplimiento de sus operaciones.
Conceptos…
Según: Real Academia Española
Qué es Auditoría Informática ó Auditoría de
Sistemas
ó
Auditoría
de
Sistemas
Computacionales ó ……. . ??????
Es la revisión técnica y especializada que se realiza
a los sistemas de una empresa, con el propósito de
evaluar el uso adecuado de estos sistemas en
relación con los servicios que proporcionan estos
sistemas.
Conceptos…
Según: Real Academia Española
Qué es un Auditor ?
Persona capacitada para realizar auditorías en
empresas u otras instituciones.
En el informe los auditores dan una opinión
independiente de la organización.
Objetivos generales de la Auditoria
1. Realizar una revisión independiente de las
actividades.
2. Hacer una revisión especializada de las
actividades.
3. Evaluar el cumplimiento de las actividades.
4. Dictaminar de manera profesional
e
independiente sobre los resultados obtenidos
en esas actividades.
Objetivos generales de la ASC
1. Realizar una evaluación con personal
multidisciplinario y capacitado en el área de
sistemas.
2. Hacer una evaluación sobre el uso de los
recurso financieros.
3. Evaluar el uso y aprovechamiento de los
equipos de cómputo.
4. Evaluar el aprovechamiento de los sistemas de
procesamiento.
Objetivos generales de la ASC
5. Evaluar el cumplimiento de las actividades.
6. Realizar la evaluación de las áreas con el apoyo de
los sistemas computacionales.
Objetivos
generales
de la
Auditoría
Se relacionan unos con otros
Objetivos
generales
de la ASC
Qué se debe evaluar en una ASC ?
•
•
•
•
•
•
•
•
•
Hardware
Software
Gestión informática
Información
Diseño de sistemas
Bases de datos
Seguridad
Redes de cómputo
Especializadas
Clasificación de la ASC
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
Auditoría con la computadora
Auditoría sin la computadora
Auditoría a la gestión informática
Auditoría al sistema de cómputo
Auditoría alrededor de la computadora
Auditoría de la seguridad de sistemas computacionales
Auditoría a los sistemas de redes
Auditoría integral a los centros de cómputo
Auditoría ISO-9000 a los sistemas de computacionales
Auditoría Outsourcing
Auditoría ergonómica de sistemas computacionales
Métodos, técnicas, herramientas y procedimientos
de ASC
1.
Instrumentos de recopilación de datos aplicables en la
auditoría de sistemas.
• Entrevistas, cuestionarios, encuestas, observación, inventarios,
muestreo, experimentación.
2.
Técnicas de evaluación aplicables en la auditoría de
sistemas.
• Examen, inspección, confirmación, comparación, revisión
documental.
3.
Técnicas especiales para la auditoría de sistemas
computacionales.
• Guías de evaluación, ponderación, simulación, evaluación,
diagrama del círculo de sistemas, diagramas de sistemas, matriz
de evaluación, programas de verificación, seguimiento de
programación.
Normas ético – morales profesionales
del auditor
Estas son las normas ético-morales que regulan la
actuación del auditor.
–Normas para la capacitación del auditor.
–Normas para la conducta observable del auditor.
–Normas para el desarrollo del trabajo del auditor.
–Normas para la emisión del informe de auditoría.
Representación esquemática de la
metodología de ASC
METODOLOGIA
3
Planeación
Ejecución
Dictamen
Para que nos permita
EJECUTAR la
METODOLOGIA
2
Realizar un proceso
de
PLANEACION
1
Consideraciones metodológicas
• Una metodología es necesaria para que un
equipo de profesionales alcancen un
resultado homogéneo en equipos de trabajo
heterogéneos.
• Las metodologías usadas por un profesional
dicen mucho de su forma de entender su
trabajo.
La informática ha sido tradicionalmente una
materia compleja en todos sus aspectos.
Conceptos…
Según: Real Academia Española
• Método, es el modo de decir o hacer una cosa.
• Metodología, conjunto de métodos que se
siguen en una investigación científica o en una
exposición doctrinal.
– Esto significa que cualquier proceso científico debe
estar sujeto a una disciplina de proceso definida con
anterioridad.
– Son necesarias para desarrollar cualquier proyecto
que nos propongamos de manera ordenada y eficaz
Conceptos…
Según: Real Academia Española
• Planeación, es el proceso de decidir de
antemano qué se hará y de qué manera, la cual
tiene una implicación futura.
• Plan, es un método detallado formulado de
antemano, para hacer algo.
• Programa, son cursos de acción detallados
que señalan los pasos específicos que habrán de
realizarse para lograr los objetivos, indicando
la secuencia cronológica y los tiempos de
duración de dichos pasos.
Conceptos…
Según: Real Academia Española
• Actividad, es el conjunto de operaciones
ejecutadas ó de actos, desarrollados por una o
varias personas y que contribuyen al logro de una
función.
• Tarea, es la subdivisión del trabajo para
concretizar una actividad.
• Plan de trabajo, es la representación gráfica en
la que se muestran las actividades que integran
un proyecto, el periodo de tiempo necesario para
realizar cada una de ellas y sus responsables así
como los de cada actividad.
Etapas de la metodología de ASC
1. Planeación de la Auditoria de Sistemas
Computacionales.
2. Ejecución de la Auditoria de Sistemas
Computacionales.
3. Dictamen de la Auditoria de Sistemas
Computacionales.
1. Planeación de la Auditoria de Sistemas
Computacionales
• El primer paso para realizar una auditoría en sistemas
computacionales es definir las actividades necesarias
para su ejecución, lo cual se logrará mediante una
adecuada planeación de éstas.
• Esta fase de planeación culmina con la elaboración
formal de planes, programas y presupuestos en
documentos que sirven para consulta y control de las
actividades de revisión.
1. Planeación de la Auditoria de Sistemas
Computacionales
• Se debe iniciar con el planteamiento de las
siguientes interrogantes:
– ¿Porqué se realizará la auditoría?
– ¿Se debe hacer una visita preliminar al área de
sistemas?
– ¿Cuál es el objetivo que se pretende alcanzar con
esta auditoría?
1. Planeación de la Auditoria de Sistemas
Computacionales
P.1 Identificar el origen de la auditoría.
P.2 Realizar una visita preliminar al área que será
evaluada.
P.3 Establecer los objetivos de la auditoría.
P.4 Determinar los puntos que serán evaluados en la
auditoría.
P.5 Elaborar planes, programas y presupuestos para
realizar la auditoría.
P.6 Identificar y seleccionar los métodos,
procedimientos, instrumentos y herramientas
necesarias para la auditoría.
P.7 Asignar los recursos y sistemas computacionales
para la auditoría.
2. Ejecución de la Auditoria de Sistemas
Computacionales
• Esta determinada por las características
concretas, los puntos y requerimientos que se
estimaron en la etapa de planeación.
• Se debe aplicar de acuerdo con la planeación
de la auditoría y de acuerdo a las
características específicas de la auditoría
que se trate.
2. Ejecución de la Auditoria de Sistemas
Computacionales
E.1 Realizar las acciones programadas para la
auditoría.
E.2 Aplicar los instrumentos y herramientas para
la auditoría.
E.3 Identificar y elaborar los documentos de
desviaciones encontradas.
E.4 Elaborar el dictamen preliminar y presentarlo
a discusión.
E.5 Integrar el legado de papeles de trabajo de la
auditoría.
3. Dictamen de la Auditoria de Sistemas
Computacionales
D.1 Analizar la información y elaborar un
informe de situaciones detectadas.
- El propósito es que el auditor elabore su borrador y comente
las desviaciones con los auditados. .
- Después, debe elaborar las modificaciones pertinentes.
D.2 Elaborar el dictamen final.
- Se presenta a los directivos del área auditada.
D.3 Presentar el informe de auditoría.
- Se presenta al más alto directivo de la empresa.
- En medio de una reunión directiva.
3. Dictamen de la Auditoria de Sistemas
Computacionales
D.1 Analizar la información y elaborar un informe
de situaciones detectadas.
D.1.1 Analizar los papeles de trabajo.
D.1.2 Señalar las situaciones encontradas.
D.1.3 Comentar las situaciones encontradas con
el personal de las áreas.
D.1.4 Realizar las modificaciones necesarias.
D.1.5 Elaborar un documento de situaciones
relevantes.
3. Dictamen de la Auditoria de Sistemas
Computacionales
D.2 Elaborar el dictamen final.
D.2.1 Analizar la información y elaborar un
documento de desviaciones detectadas.
D.2.2 Elaborar el informe y el dictamen formales.
D.2.3 Comentar el informe y el dictamen con los
directivos del área.
D.2.4 Realizar las modificaciones necesarias.
3. Dictamen de la Auditoria de Sistemas
Computacionales
D.3 Presentar el informe de auditoría.
D.3.1 Elaboración del dictamen formal.
D.3.2 Integración del informe de auditoría.
D.3.3 Presentación del informe de auditoría.
D.3.4 Integración de los papeles de trabajo.
Propuesta de papeles de trabajo para la
ASC
1.
2.
3.
4.
5.
6.
7.
Hoja de identificación
Ïndice de contenidos de los papeles de trabajo
Dictamen preliminar (borrador)
Resumen de desviaciones detectadas (las más
importantes)
Situaciones encontradas (situaciones, causas y
soluciones)
Programa de trabajo de auditoría
Guía de auditoría
Propuesta de papeles de trabajo para la
ASC
8.
9.
10.
11.
12.
13.
14.
Inventario de SW
Inventario de HW
Inventario de consumibles
Manual de organización
Descripción de puestos
Reportes de pruebas y resultados
Respaldos (backups) de datos, disquets y programas
de aplicación de auditoría
15. Respaldos (backups) de las BD y de los sistemas
Propuesta de papeles de trabajo para la
ASC
16. Guías de claves para el señalamiento de los papeles de
trabajo
17. Cuadros y estadísticas concentradores de información
18. Anexos de recopilación de información
19. Diagramas de flujo, de programación y de desarrollo
de sistemas
20. Testimoniales, actas y documentos legales de
comprobación y confirmación
21. Análisis y estadísticas de resultados, datos y pruebas
de comportamiento del sistema.
22. Otros documentos de apoyo para el auditor
Propuesta de puntos que se deben
evaluar en una ASC
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
Auditoría con la computadora
Auditoría sin la computadora
Auditoría a la gestión informática del área de sistemas
Auditoría al sistema computacional
Auditoría alrededor de la computadora
Auditoría de la seguridad de los sistemas computacionales
Auditoría a los sistemas de redes
Auditoría outsourcing en los sistemas computacionales
Auditoría ISO 9000 a los sistemas computacionales
Auditoría ergonómica de los sistemas de cómputo
Auditoría integral a los centros de computo
Planeación de la ASC
• Para hacer una adecuada planeación de la ASC
hay que seguir una serie de pasos previos que
permitan dimensionar el tamaño y características
del área dentro del organismo a auditar, sus
sistemas, organización y equipos.
• La planeación permite determinar:
–
–
–
–
–
Personal (número y características).
Herramientas necesarias.
Tiempo y costo.
Definir el alcance y los objetivos.
Poder elaborar el contrato de servicios.
Planeación de la ASC
Eje 1: Propuesta de servicios para ASC
•
•
•
•
•
ANTECEDENTES
OBJETIVOS DE LA AUDITORÍA INFORMÁTICA
ALCANCES DEL PROYECTO
METODOLOGÍA
TIEMPO Y COSTO
Planeación de la ASC
Eje 2: Propuesta de contrato de ASC
1. QUIENES CELEBRAN
2. QUÉ DECLARAN
3. CUÁLES SON LAS CLÁUSULAS
–
–
–
–
–
–
Primera. Objeto
Segunda. Alcance del trabajo
Tercera. Programa de trabajo
Cuarta. Honorarios.
Quinta. Plazo del trabajo
Sexta. Jurisdicción, etc
Planeación de la ASC
• Una inadecuada planeación provocará una serie
de problemas que pueden impedir que se cumpla
con la auditoría ó bien hacer que NO se cumpla
con profesionalismo.
• El trabajo de Auditor Informático deberá incluir:
–
–
–
–
La planeación de la ASC.
El examen y la evaluación de la información.
La comunicación de los resultados.
El seguimiento.
Documentación de la planeación
• El establecimiento de los objetivos y el
alcance del trabajo.
• La obtención de información de apoyo sobre
las actividades que se auditarán.
• La determinación de los recursos necesarios
para realizar la auditoría.
• El establecimiento de la comunicación
necesaria con todos los que estarán
involucrados en la auditoría.
Documentación de la planeación
• Realizar
una
inspección
física
para
familiarizarse con las actividades y controles a
auditar.
• La preparación por escrito del programa de
auditoría.
• La determinación de cómo, cuando y a quién
se le comunicaran los resultados de la
auditoría.
• La obtención de la aprobación del plan de
trabajo de la auditoría.
Consideraciones importantes para la
planeación
• Para lograr una adecuada planeación, lo primero
que se requiere es obtener información general
sobre la organización y sobre la función de
informática a evaluar.
• Realizar una investigación preliminar y algunas
entrevistas previas.
• En base a lo anterior, planear el programa de
trabajo, el cual deberá incluir: tiempos, costos
personal necesario y documentos auxiliares a
solicitar o formular durante el desarrollo de la
auditoría.
Revisión preliminar - informal
• Objetivo.- Es el de obtener la información
necesaria para que el auditor pueda tomar la
decisión de cómo proceder en la auditoría.
• Significa la recolección de evidencias por
medio de entrevistas con el personal de la
instalación, la observación de las actividades
en la instalación y la revisión de la
documentación preliminar.
Revisión preliminar - informal
• Las evidencias se pueden recolectar por medio
de cuestionarios iniciales, o bien por medio de
entrevistas, o con documentación narrativa.
• Debemos considerar que está será sólo una
información inicial que nos permitirá elaborar
el plan de trabajo, la cual se profundizará en el
desarrollo de la auditoría.
Taller y trabajo FINAL
Ejecutar la metodología adecuada para la
realización de la Auditoria de sistemas
computacionales de una empresa real, la misma
que por cuestiones didácticas debe ser aplicable
de evaluar la auditoría de sistemas
computacionales. Los pasos para la misma se
reflejarán en la wiki de Auditoria Informática