La auditoría de sistemas de centros de proceso electrónico de datos

(PED), se define como una auditoría que abarca la revisión y

evaluación de todos los aspectos de los sistemas automáticos de

procesamiento de la información, incluidos los procedimientos no

automáticos relacionados con ellos; también podemos decir que es el

examen y evaluación de los procesos del PED y de la utilización de los

recursos que en ellos intervienen, para llegar a establecer el grado deeficiencia, efectividad y economía de los sistemas computarizados en

una empresa y presentar conclusiones y recomendaciones

encaminadas a corregir las deficiencias existentes y mejorarlas.

Los Sistemas de Información en las organizaciones, son desarrollados

con propósitos diferentes dependiendo de las necesidades de cada

una de ellas, donde se evalúan y verifican las políticas, controles,

procedimientos y la seguridad en general, correspondiente al uso delos recursos de informática por el personal de la empresa (usuarios,

informática, alta dirección), a fin de que se logre una utilización más

eficiente y segura de la información que servirá para una adecuada

toma de decisiones.

INTRODUCCION

AUDITORIA DE SISTEMAS A LA MUNICIPALIDAD

PROVINCIAL DE TACNA

• “La Municipalidad Provincial de Tacna trabaja paraconseguir el desarrollo económico de la ciudad, paraconvertirla en una ciudad más Turística y comercial, paratener eficientes servicios públicos y ser una ciudadmoderna, tecnológica, segura, altamente competitiva y conhabitantes de excelente calidad de vida”.

ANTECEDENTES DE EMPRESA

VISIÓN

Es nuestra Visión como Institución: Modernizar yhacer más eficiente la administración municipal, paraque el servicio público municipal tenga como valoresesenciales el profesionalismo y transparencia, y quesus ciudadanos participen directamente en elcrecimiento de la ciudad.

MISIÓNSomos una institución de servicio a la comunidad, cuyo fin es la promoción laboral y empresarial para mejorar la calidad de vida del pueblo Tacneño con la asistencia en salud y educación.

PLAN DE AUDITORIA

DE SISTEMAS A LA

MUNICIPALIDAD PROVINCIAL

DE TACNA

1. ALCANCE

La presente auditoria se realizará enfocándose en los

sistemas de Centros de Proceso Electrónico de Datos (PED)

en computadoras personales que estén conectados a la red

interna de la Municipalidad Provincial de Tacna.

Personal encargado Especialidad

Jacinto Coaquira María Lourdes Auditor especialista

Pongo Flores Katia Beatriz Ing. De Sistemas

Ticahuanca Guerra Mary Luz Asistente de Auditor

2. PERSONAL ENCARGADO

NORMAS PERSONALES

•El auditor deberá poseer preparación técnica y capacidad profesional adecuada.•Deberá observar diligencia profesional en la ejecución del trabajo y en laelaboración del informe.•Deberá adoptar una actitud independiente.

•Evaluar el funcionamiento y seguridad de lossistemas informáticos de la empresa, así comorealizar un estudio de las operaciones del mismoque permita generar un respaldo en la emisión delinforme a la auditoría practicada la cual servirá parauna adecuada toma de decisiones.

3. OBJETIVO

OBJETIVOS ESPECIFICOS

Evaluar el diseño y prueba de los sistemas del área de Informática

Determinar la veracidad de la información del área de Informática

Verificar si la selección de equipos y Sistemas de computación es adecuada.

Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pcs.

Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del orden

dentro del departamento de cómputo.

NGAS N° 5“Planeación”

El auditor de SI debe desarrollar ydocumentar un plan de auditoría quedetalle la naturaleza y los objetivos dela auditoría, los plazos y alcance, asícomo los recursos requeridos

NORMA(S), GUÍA DE AUDITORÍA DE SI YMARCO REFERENCIAL DEL COBIT

S5 – Planeación, S11 – Gobernabilidad de TI S15 - Controles de TI, G15– Planeación, G16 – Efectos de terceros en los controles de TI de unaorganización y Marco Referencial del COBIT, Objetivos de Control.

PROCEDIMIENTO(S) Y TÉCNICAS(S) Objetivos de controles y objetivos de auditoríaProcedimiento de auditoría: Revisión de la documentación de sistemase identificación de controles existentes.

4. METODOLOGÍA A APLICAR

RECOPILACIÓN DE INFORMACIÓN BÁSICA

La documentación utilizada durante la auditoria, será en primer lugar de tipo

descriptivo o sea basada en la narración verbal de los

procedimientos, las cuales son conocidas como cedulas narrativas.

MÉTODO DESCRIPTIVO

RECOPILACIÓN DE INFORMACIÓN BÁSICA

En segundo lugar, los procedimientos se documentaran a través de la

preelaboraccion de preguntas, contestadas personalmente por los encargados de la empresa o por el personal encargado de los sistemas

informáticos y por algunas usuarios de la empresa que tenga relación con el

mismo.

MÉTODO DE CUESTIONARIO

NGAS N° 6“REALIZACIÓN DE

LABORES DE AUDITORÍA”

Evidencia—Durante el transcurso de la auditoría, el auditor de SI debeobtener evidencia suficiente, confiable y pertinente para alcanzar losobjetivos de auditoría. Los hallazgos y conclusiones de la auditoríadeberán ser soportados mediante un apropiado análisis e interpretaciónde dicha evidencia

5. ENFOQUE A UTILIZAR

La presente acción de control, se realiza de acuerdo con el organismo central

y rector de los Sistemas Nacionales de Estadística e Informática, responsable

de normar, supervisar y evaluar los métodos, procedimientos y técnicas

estadísticas e informáticas utilizados por los órganos del Sistema INEI

(Instituto Nacional de Estadística e Informática), Normas Internacionales de

Auditoria (NIA); habiéndose aplicado procedimientos de Auditoria que se

consideraron necesarios de acuerdo a las circunstancias.

6. PRUEBAS A REALIZAR

Son los procedimientos que se llevaran a cabo a fin de verificar el cumplimiento de los objetivos establecidos. Entre ellas podemos mencionar las siguientes técnicas:

•Tomar maquinas al azar y evaluar la dificultad de acceso a las mismas.•Intentar sacar datos con un dispositivo externo.•Facilidad para desarmar una PC.•Facilidad de accesos a información de confidencialidad (usuarios y claves).•Verificación de contratos.•Comprobar que luego de 5 minutos de inactividad los usuarios se deslogueen.

7. OBTENCIÓN DE LOS RESULTADOS

En esta etapa se obtendrán los resultados que surjande la aplicación de los procedimientos de control y laspruebas realizadas a fin de poder determinar si secumple o no con los objetivos de control antesdefinidos. Los datos obtenidos se registrarán enplanillas realizadas a medida para cada procedimientoa fin de tener catalogado perfectamente los resultadoscon el objetivo de facilitar la interpretación de losmismos y evitar interpretaciones erróneas.

NGAS N° 9“IRREGULARIDADES Y ACCIONES ILEGALES

”

El auditor de SI debe mantener una actitud deescepticismo profesional durante la auditoría,reconociendo la posibilidadde que podrían existir declaracionesmaterialmente incorrectas debido airregularidades y acciones ilegales,independientemente de su propia evaluacióndel riesgo de irregularidades y accionesilegales.

8. CONCLUSIONES Y COMENTARIOS:

En este paso se detallara el resumen de toda lainformación obtenida, así como lo que se derivade esa información, sean fallas de seguridad,organización o estructura empresarial.

Se expondrán las fallas encontradas, en la seguridad físicasean en temas de resguardo de información (Casos deincendio, robo), manejo y obtención de copias de seguridad,en las normativas de seguridad como por ejemplonormativas de uso de passwords, formularios de adquisiciónde equipos, y estudios previos a las adquisiciones paracomprobar el beneficio que los mismos aportarían.Finalmente se verán los temas de organización empresarial,como son partes responsables de seguridad, mantenimientoy supervisión de las otras áreas.

9. REDACCIÓN DEL INFORME RESUMEN Y CONCLUSIONES:

• En este paso es donde se muestran los verdaderos resultados alos responsables de la empresa, el informe presentado dará aconocer todos los puntos evaluados durante la auditoria,resultados, conclusiones y las posibles soluciones.

• La conclusión tendrá como temas los resultados, errores,puntos críticos y observaciones de los auditores.

•Esta es la última parte de la auditoria operativa enfocada en los centros de procesos electrónico de datos (PED), en la cual en una reunión previamente acordada se formaliza la entrega del informe final con los resultados obtenidos en la auditoria.•

•También se fijan los parámetros, si así se requieren para realizar el seguimientos de los puntos en los que el resultado no haya sido satisfactorio.

10. ENTREGA DEL INFORME A LOS DIRECTIVOS DE LA EMPRESA:

11. CRONOGRAMA DE ACTIVIDADES

No. ACTIVIDAD O TAREA

SEMANA 1 SEMANA 2 SEMANA 3 SEMANA 4

1 Realización de Visita preliminar X

2 Elaboración de Plan de Auditoría X

3Elaboración de Cuestionario de Control interno X

4 Visita para contestar el cuestionario de control

interno X

5 Análisis del cuestionario y elaboración de

Planilla de Decisiones Preliminares X

6 Ejecución de las actividades presentadas en el

Programa de Auditoría X

7Revisión de sistema de redes X

8 Presentación del informe de Auditoría X

CRONOGRAMA

NGAS N° 7“Reporte”

El auditor de SI debe

suministrar un informe al

finalizar la auditoría

NGAS N° 6“Ejecución de la Auditoría”

El auditor de SI debe ser

supervisado, encontrar evidencia

suficiente y elaborar

documentación que sustente sus

labores.

PROGRAMA DE AUDITORÍAPASO Nº PROCEDIMIENTOS FECHA

1.1

1.2

1.3

OBJETIVO Nro. 01.

Verificar e implementar un software que satisfaga losrequerimientos de la institución

PROCEDIMIENTOSSolicite los documentos normativos que regulan elAREA DE IMFORMATICA .

Verificar si elaboran algún informe diaria sobre elfuncionamiento adecuado de software que se estausando.

Verifique y realice un estudio sobre la capacidad delsoftware que se esta usando en esta área.

Del 15 al 20 de enero

20 al 22 enero

22 al 25 enero

25 al 30 de enero

2.1

2.2

2.3

OBJETIVO Nro. 02.

Verifíquese si se esta optimizando la integración, uso yestandarización de sus sistemas de información de maneraque se identifique, capture y comunique, en formacompleta, exacta y oportuna, sólo la información que lainstitución requiera.

PROCEDIMIENTOSSolicite los documentos : Normas técnicas entecnologías de información y comunicaciones

Realizase el análisis de capacidad de TI, riesgos, y elmonitoreo del entorno

Verifíquese que el personal encargado esteadecuadamente capacitado.

12 al 18 de Febrero

18 al 23 de Febrero

24 al 30 de Febrero

01 al 10 de marzo

NGAS N° 5

“Planeación”

El auditor de SI debe desarrollar un

programa y/o plan de auditoría

detallando la naturaleza, los plazos y el

alcance de los

procedimientos requeridos para

completar la auditoría.

La auditoria de sistemas informáticos se encuentra principalmentebasada en las NGAS, las cuales son consideradas como requisitosbásicos para realizar un eficiente labor del auditor de sistemas .

La auditoria de sistemas de información deberá comprender no sólola evaluación de los equipos de cómputo, de un sistema oprocedimiento específico, sino que además se deberá evaluar lossistemas de información en general desde la obtención de lainformación.

CONCLUSIONES

La auditoria de sistemas es de vital importancia para el buendesempeño de los sistemas que utiliza la empresa, ya queproporciona los controles necesarios para que los sistemas tengan unbuen nivel de seguridad y de esta manera puedan ser confiables yeficientes.