clase04-unidad-2-metodologc3ada.pptx

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

1/26

Unidad 2: Metodología pararealizar auditoría de

Sistemas ComputacionalesIng. Elizabeth Guerrero

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

2/26

Llevar a cabo una auditoría de sistemascomputacionales requiere una serieordenada de:◦  acciones y procedimientos específcos, los cuales

debern ser dise!ados previamente de manera:  secuencial,

cronol"gica y

ordenada,

◦ de acuerdo a: Las etapas, eventos y actividades que se requieran

para su e#ecuci"n

Introducción

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

3/26

La metodología es necesaria para que unequipo de pro$esionales alcance unresultado homog%neo tal como si lo hicierauno s"lo.

&or ello, resulta habitual el uso demetodologías en las empresasauditoras'consultoras pro$esionales

(desarrolladas por los ms e)pertos* paraconseguir resultados similares(homog%neos* en equipos de traba#odi$erentes (heterog%neos*.

Introducción

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

4/26

%todo: -modo prescritopara e#ecutar una tarea otraba#o determinado, por elcual se pretende alcanzar unob#etivo establecido.

Defniciones Básicas

etodología: -estudio de los m%todos quese siguen en una investigaci"n, unconocimiento o una interpretaci"n.

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

5/26

&laneaci"n: es elproceso de decidirde antemano qu%se har y de qu%manera se har.

Defniciones Básicas

&lan: es un instrumentodise!ado para alcanzardeterminados ob#etivos,donde se defnen espacio,tiempo y mediosutilizables para su alcance

&oliticas, &rog, &roced

isionesglobalesesultados

/b#etivos Espec.

edios(recursos*

0cciones  1iempo($uturo*

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

6/26

&rograma: con#untoestructurado de diversasactividades al cual se leasignan recursos humanos,

materiales y fnancieros,indicando la secuenciacronol"gica y los tiempos deduraci"n de dichos pasos

Defniciones Básicas

&resupuesto: -estimaci"n programada en $orma sistemtica de losingresos y egresos que mane#a un organismo en un períododeterminado2 puede considerarse como un plan de acci"n ent%rminos monetarios y cuyo e#ercicio abarca generalmente un a!o deactividad3

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

7/26

Defniciones Básicas

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

8/26

4. Estudio&reliminar o 1oma decontacto

5.&laneaci"n

6. E#ecuci"nde la

0uditoría

7. 8intesisy

9iagn"stic

o

.&resentaci"

n de;onclusione

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

9/26

;onocer la organizaci"n ob#eto de 0uditoría◦ ;antidad de empleados, tipo de in$ormaci"n que

mane#a la organizaci"n, conte)to donde laempresa est $uncionando, =

◦ In$ormaci"n de la empresa y de su centro dedatos (departamento de in$ormtica*

Fase ! "oma de contacto

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

10/26

Fase 2! #laneación  4 .

    • I  d  e  n  t i  f  c  a  r  e l  o  r i  g  e  n  d  e l  a  a  u  d i  t  o  r í  a

  5 .    •     e  a l i  z  a  r  v i  s i  t  a  p  r  e l i   m i  n  a  r  a l    r  e  a  q  u  e  s  e  r    e  v  a l  u  a  d  a

  6 .    •  E  s  t  a  b l  e  c  e  r  o  b #  e  t i  v  o  s  d  e l  a  a  u  d i  t  o  r í  a

  7 .    •   9  e  t  e  r   m i  n  a  r l  o  s  p  u  n  t  o  s  q  u  e  s  e  r    n  e  v  a l  u  a  d  o  s  e  n l  a  a  u  d i  t  o  r í  a

  : .     •  E l  a  b  o  r  a  r  p l  a  n  e  s ,  p  r  o  g  r  a   m  a  s  y  p  r  e  s  u  p  u  e  s  t  o  s  p  a  r  a  r  e  a l i  z  a  r l  a  a  u  d i  t  o  r í  a

   .    •   0  s i  g  n  a  r  r  e  c  u  r  s  o  s  y  s i  s  t  e   m  a  s  c  o   m  p  u  t  a  c i  o  n  a l  e  s  p  a  r  a l  a  a  u  d i  t  o  r í  a

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

11/26

&or solicitud e)presa de procedencia interna &or solicitud e)presa de procedencia

e)terna

;omo consecuencia de emergencias ycondiciones especiales &or riesgos y contingencias in$ormticas ;omo resultados de los planes de

contingencia &or resultados obtenidos de otras auditorías ;omo parte del programa integral de

auditoría

2! Identifcar el origen de laauditoría

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

12/26

$isita preliminar de arran%ue:◦ ?;"mo se encuentran distribuidos los sistemas en

el rea@

◦ ?;untos, cules, c"mo y de qu% tipo son los

equipos que estn instalados en el centro desistemas@

◦ ?;ules son las principales características $ísicasde los sistemas que sern auditados@

◦

?;"mo reacciona el personal ante la visita delauditor@

◦ ?Au% limitaciones se observan para realizar laauditoría@

2!2 &ealizar 'isita preliminar alárea %ue será e'aluada

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

13/26

(sta)lecer los o)*eti'os de laauditoría:◦ /b#etivo general

◦ /b#etivos particulares

◦ /b#etivos específcos

2!2 &ealizar 'isita preliminar alárea %ue será e'aluada

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

14/26

Determinar los puntos %ue seráne'aluados en la auditoría◦ Evaluaci"n de las $unciones y actividades del

personal en el rea de sistemas

◦ Evaluaci"n de las reas y unidades administrativasdel centro de computo

◦ Evaluaci"n de la seguridad de los 8I

◦ Evaluaci"n de la in$ormaci"n, documentaci"n yregistros de los sistemas

◦ Evaluaci"n del hardBare

◦ Evaluaci"n del so$tBare

◦ Evaluaci"n de la in$ormaci"n y bases de datos

2!2 &ealizar 'isita preliminar alárea %ue será e'aluada

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

15/26

(la)orar planes+ programas ,presupuestos %ue serán utilizados:◦ Elaborar el documento $ormal de los planes de

traba#o para la auditoría

◦ Elaborar los programas de actividades pararealizar la auditoría

◦ Elaborar los presupuestos para la auditoría

2!2 &ealizar 'isita preliminar alárea %ue será e'aluada

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

16/26

Identifcar , seleccionar los m-todos+.erramientas+ instrumentos ,procedimientos necesarios para laauditoría◦ Establecer la guía de ponderaci"n de los puntos

que sern evaluados

◦ Elaborar la guía de la auditoría

◦ Elaborar los documentos necesarios para la

auditoría (encuestas, cuestionarios, entrevistas*◦ 9eterminar herramientas, m%todos y

procedimientos para la auditoría

2!2 &ealizar 'isita preliminar alárea %ue será e'aluada

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

17/26

/signar recursos , sistemascomputacionales para la auditoría◦ ecursos Cumanos

◦ ecursos in$ormticos y tecnol"gicos

◦ ecursos materiales y de consumo

◦ /tros recursos necesarios (viaticos, pasa#es,=*

2!2 &ealizar 'isita preliminar alárea %ue será e'aluada

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

18/26

ealizar las acciones programadas para laauditoría

0plicar los instrumentos yherramientas para laauditoría

0plicar los recursos yactividades con$orme a losplanes y programas

ecopilar la documentaci"ny evidencias de la auditoría

Fase 0! (*ecución de la/uditoría

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

19/26

Identifcar y elaborar los documentos dedesviaciones

Integrar los papeles de traba#o dela auditoría

Integrar los documetos y pruebasen papeles de traba#o

Fase 1! Síntesis ,diagnóstico

('idencias◦ &untos d%biles del sistema

◦ &untos $uertes

◦

iesgos Eventuales◦ &osibles oportunidades

◦ &osibles soluciones y me#oras

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

20/26

Elaborar los documentos y presentarlos adiscusi"n

Elaborar el borrador de lasdesviaciones

Fase ! #resentación deconclusiones

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

21/26

;arta de presentaci"n del in$orme esumen del in$orme Elaborar el dictamen fnal

&resentaci"n del in$orme de auditoría

Fase 3! &edacción del in4ormefnal

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

22/26

Con4ección , redacción delIn4orme Final (structura del in4orme fnal:

◦ El in$orme comienza con la $echa de comienzo de

la auditoría y la $echa de redacci"n del mismo.

◦ 8e incluyen los nombres del equipo auditory los nombres de todas las personasentrevistadas, con indicaci"n deldepartamento, responsabilidad y puesto detraba#o que ostente.

◦ 9efnici"n de ob#etivos y alcance de laauditoría.

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

23/26

Con4ección , redacción delIn4orme Final Cuerpo e5positi'o:

• Cuando se trate de una revisión periódica, en laque se analiza no solamente una situación sinoademás su evolución en el tiempo, se expondrála situación prevista y la situación real.

a. Situación actual.

• Se tratarán de hallar parámetros que permitanestablecer tendencias futuras.b. Tendencias

• 8e establecen los puntos d%biles yamenazas encontradas durante la auditoríac. Puntos dbiles y amenazas.

• Constituyen !unto con la exposición de puntosdbiles, el verdadero ob!etivo de la auditor"ainformática.

d. #ecomendaciones y planes deacción.

• e. #edacción posterior de la Carta de $ntroduccióno Presentación.;arta de &resentaci"n

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

24/26

Modelo conceptual de lae5posición del in4orme fnal El in$orme debe incluir solamente hechos importantes. El In$orme debe consolidar los hechos que se describen en el

mismo. El t%rmino de Dhechos consolidadosD adquiere un especial

signifcado de verifcaci"n ob#etiva y de estar documentalmente

probados y soportados. La consolidaci"n de los hechos debesatis$acer, al menos los siguientes criterios:

◦ El hecho debe poder ser sometido a cambios.

◦ Las venta#as del cambio deben superar los inconvenientesderivados de

◦ mantener la situaci"n.

◦ o deben e)istir alternativas viables que superen al cambiopropuesto.

◦ La recomendaci"n del auditor sobre el hecho debe mantener ome#orar las normas y estndares e)istentes en la instalaci"n.

◦ La aparici"n de un hecho en un in$orme de auditoría implica

necesariamente la e)istencia de una debilidad que ha de sercorregida.

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

25/26

Modelo conceptual de la e5posición delin4orme fnal

Flu*o del.ec.o ode)ilidad:

• F Ca de ser relevante para el auditor y pera el cliente.•

F Ca de ser e)acto, y adems convincente.•F o deben e)istir hechos repetidos.4 Cecho encontrado.

•F Las consecuencias deben redactarse de modo quesean directamente deducibles del hecho.5 ;onsecuencias del

hecho

•F 8e redactar las inHuencias directas que el hechopueda tener sobre otros aspectos in$ormticos u otrosmbitos de la empresa.

6 epercusi"n delhecho

•F o deben redactarse conclusiones ms que en loscasos en que la e)posici"n haya sido muy e)tensa o

comple#a.7 ;onclusi"n del hecho

• F 9eber entenderse por sí sola, por simple lectura.• F 9eber estar sufcientemente soportada en el propio te)to.• F 9eber ser concreta y e)acta en el tiempo, para que pueda ser verifcadasu implementaci"n.

• F La recomendaci"n se redactar de $orma que vaya dirigida e)presamente ala persona o personas que puedan implementarl

ecomendaci"n delauditor in$ormtico

8/16/2019 clase04-unidad-2-metodologc3ada.pptx

26/26

Carta de introducción opresentación del in4orme fnal La carta de introducci"n tiene especial importancia porque en

ella ha de resumirse la auditoría realizada. 8e destinae)clusivamente al responsable m)imo de la empresa, o a lapersona concreta que encargo o contrato la auditoría.

La carta de introducci"n poseer los siguientes atributos:

1endr como m)imo 7 $olios. Incluir $echa, naturaleza, ob#etivos y alcance. ;uantifcar la importancia de las reas analizadas. &roporcionar una conclusi"n general, concretando las reas

de gran debilidad.

&resentar las debilidades en orden de importancia ygravedad.

En la carta de Introducci"n no se escribirn nuncarecomendaciones.