clase04-unidad-2-metodologc3ada.pptx
TRANSCRIPT
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
1/26
Unidad 2: Metodología pararealizar auditoría de
Sistemas ComputacionalesIng. Elizabeth Guerrero
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
2/26
Llevar a cabo una auditoría de sistemascomputacionales requiere una serieordenada de:◦ acciones y procedimientos específcos, los cuales
debern ser dise!ados previamente de manera: secuencial,
cronol"gica y
ordenada,
◦ de acuerdo a: Las etapas, eventos y actividades que se requieran
para su e#ecuci"n
Introducción
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
3/26
La metodología es necesaria para que unequipo de pro$esionales alcance unresultado homog%neo tal como si lo hicierauno s"lo.
&or ello, resulta habitual el uso demetodologías en las empresasauditoras'consultoras pro$esionales
(desarrolladas por los ms e)pertos* paraconseguir resultados similares(homog%neos* en equipos de traba#odi$erentes (heterog%neos*.
Introducción
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
4/26
%todo: -modo prescritopara e#ecutar una tarea otraba#o determinado, por elcual se pretende alcanzar unob#etivo establecido.
Defniciones Básicas
etodología: -estudio de los m%todos quese siguen en una investigaci"n, unconocimiento o una interpretaci"n.
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
5/26
&laneaci"n: es elproceso de decidirde antemano qu%se har y de qu%manera se har.
Defniciones Básicas
&lan: es un instrumentodise!ado para alcanzardeterminados ob#etivos,donde se defnen espacio,tiempo y mediosutilizables para su alcance
&oliticas, &rog, &roced
isionesglobalesesultados
/b#etivos Espec.
edios(recursos*
0cciones 1iempo($uturo*
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
6/26
&rograma: con#untoestructurado de diversasactividades al cual se leasignan recursos humanos,
materiales y fnancieros,indicando la secuenciacronol"gica y los tiempos deduraci"n de dichos pasos
Defniciones Básicas
&resupuesto: -estimaci"n programada en $orma sistemtica de losingresos y egresos que mane#a un organismo en un períododeterminado2 puede considerarse como un plan de acci"n ent%rminos monetarios y cuyo e#ercicio abarca generalmente un a!o deactividad3
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
7/26
Defniciones Básicas
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
8/26
4. Estudio&reliminar o 1oma decontacto
5.&laneaci"n
6. E#ecuci"nde la
0uditoría
7. 8intesisy
9iagn"stic
o
.&resentaci"
n de;onclusione
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
9/26
;onocer la organizaci"n ob#eto de 0uditoría◦ ;antidad de empleados, tipo de in$ormaci"n que
mane#a la organizaci"n, conte)to donde laempresa est $uncionando, =
◦ In$ormaci"n de la empresa y de su centro dedatos (departamento de in$ormtica*
Fase ! "oma de contacto
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
10/26
Fase 2! #laneación 4 .
• I d e n t i f c a r e l o r i g e n d e l a a u d i t o r í a
5 . • e a l i z a r v i s i t a p r e l i m i n a r a l r e a q u e s e r e v a l u a d a
6 . • E s t a b l e c e r o b # e t i v o s d e l a a u d i t o r í a
7 . • 9 e t e r m i n a r l o s p u n t o s q u e s e r n e v a l u a d o s e n l a a u d i t o r í a
: . • E l a b o r a r p l a n e s , p r o g r a m a s y p r e s u p u e s t o s p a r a r e a l i z a r l a a u d i t o r í a
. • 0 s i g n a r r e c u r s o s y s i s t e m a s c o m p u t a c i o n a l e s p a r a l a a u d i t o r í a
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
11/26
&or solicitud e)presa de procedencia interna &or solicitud e)presa de procedencia
e)terna
;omo consecuencia de emergencias ycondiciones especiales &or riesgos y contingencias in$ormticas ;omo resultados de los planes de
contingencia &or resultados obtenidos de otras auditorías ;omo parte del programa integral de
auditoría
2! Identifcar el origen de laauditoría
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
12/26
$isita preliminar de arran%ue:◦ ?;"mo se encuentran distribuidos los sistemas en
el rea@
◦ ?;untos, cules, c"mo y de qu% tipo son los
equipos que estn instalados en el centro desistemas@
◦ ?;ules son las principales características $ísicasde los sistemas que sern auditados@
◦
?;"mo reacciona el personal ante la visita delauditor@
◦ ?Au% limitaciones se observan para realizar laauditoría@
2!2 &ealizar 'isita preliminar alárea %ue será e'aluada
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
13/26
(sta)lecer los o)*eti'os de laauditoría:◦ /b#etivo general
◦ /b#etivos particulares
◦ /b#etivos específcos
2!2 &ealizar 'isita preliminar alárea %ue será e'aluada
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
14/26
Determinar los puntos %ue seráne'aluados en la auditoría◦ Evaluaci"n de las $unciones y actividades del
personal en el rea de sistemas
◦ Evaluaci"n de las reas y unidades administrativasdel centro de computo
◦ Evaluaci"n de la seguridad de los 8I
◦ Evaluaci"n de la in$ormaci"n, documentaci"n yregistros de los sistemas
◦ Evaluaci"n del hardBare
◦ Evaluaci"n del so$tBare
◦ Evaluaci"n de la in$ormaci"n y bases de datos
2!2 &ealizar 'isita preliminar alárea %ue será e'aluada
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
15/26
(la)orar planes+ programas ,presupuestos %ue serán utilizados:◦ Elaborar el documento $ormal de los planes de
traba#o para la auditoría
◦ Elaborar los programas de actividades pararealizar la auditoría
◦ Elaborar los presupuestos para la auditoría
2!2 &ealizar 'isita preliminar alárea %ue será e'aluada
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
16/26
Identifcar , seleccionar los m-todos+.erramientas+ instrumentos ,procedimientos necesarios para laauditoría◦ Establecer la guía de ponderaci"n de los puntos
que sern evaluados
◦ Elaborar la guía de la auditoría
◦ Elaborar los documentos necesarios para la
auditoría (encuestas, cuestionarios, entrevistas*◦ 9eterminar herramientas, m%todos y
procedimientos para la auditoría
2!2 &ealizar 'isita preliminar alárea %ue será e'aluada
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
17/26
/signar recursos , sistemascomputacionales para la auditoría◦ ecursos Cumanos
◦ ecursos in$ormticos y tecnol"gicos
◦ ecursos materiales y de consumo
◦ /tros recursos necesarios (viaticos, pasa#es,=*
2!2 &ealizar 'isita preliminar alárea %ue será e'aluada
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
18/26
ealizar las acciones programadas para laauditoría
0plicar los instrumentos yherramientas para laauditoría
0plicar los recursos yactividades con$orme a losplanes y programas
ecopilar la documentaci"ny evidencias de la auditoría
Fase 0! (*ecución de la/uditoría
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
19/26
Identifcar y elaborar los documentos dedesviaciones
Integrar los papeles de traba#o dela auditoría
Integrar los documetos y pruebasen papeles de traba#o
Fase 1! Síntesis ,diagnóstico
('idencias◦ &untos d%biles del sistema
◦ &untos $uertes
◦
iesgos Eventuales◦ &osibles oportunidades
◦ &osibles soluciones y me#oras
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
20/26
Elaborar los documentos y presentarlos adiscusi"n
Elaborar el borrador de lasdesviaciones
Fase ! #resentación deconclusiones
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
21/26
;arta de presentaci"n del in$orme esumen del in$orme Elaborar el dictamen fnal
&resentaci"n del in$orme de auditoría
Fase 3! &edacción del in4ormefnal
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
22/26
Con4ección , redacción delIn4orme Final (structura del in4orme fnal:
◦ El in$orme comienza con la $echa de comienzo de
la auditoría y la $echa de redacci"n del mismo.
◦ 8e incluyen los nombres del equipo auditory los nombres de todas las personasentrevistadas, con indicaci"n deldepartamento, responsabilidad y puesto detraba#o que ostente.
◦ 9efnici"n de ob#etivos y alcance de laauditoría.
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
23/26
Con4ección , redacción delIn4orme Final Cuerpo e5positi'o:
• Cuando se trate de una revisión periódica, en laque se analiza no solamente una situación sinoademás su evolución en el tiempo, se expondrála situación prevista y la situación real.
a. Situación actual.
• Se tratarán de hallar parámetros que permitanestablecer tendencias futuras.b. Tendencias
• 8e establecen los puntos d%biles yamenazas encontradas durante la auditoríac. Puntos dbiles y amenazas.
• Constituyen !unto con la exposición de puntosdbiles, el verdadero ob!etivo de la auditor"ainformática.
d. #ecomendaciones y planes deacción.
• e. #edacción posterior de la Carta de $ntroduccióno Presentación.;arta de &resentaci"n
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
24/26
Modelo conceptual de lae5posición del in4orme fnal El in$orme debe incluir solamente hechos importantes. El In$orme debe consolidar los hechos que se describen en el
mismo. El t%rmino de Dhechos consolidadosD adquiere un especial
signifcado de verifcaci"n ob#etiva y de estar documentalmente
probados y soportados. La consolidaci"n de los hechos debesatis$acer, al menos los siguientes criterios:
◦ El hecho debe poder ser sometido a cambios.
◦ Las venta#as del cambio deben superar los inconvenientesderivados de
◦ mantener la situaci"n.
◦ o deben e)istir alternativas viables que superen al cambiopropuesto.
◦ La recomendaci"n del auditor sobre el hecho debe mantener ome#orar las normas y estndares e)istentes en la instalaci"n.
◦ La aparici"n de un hecho en un in$orme de auditoría implica
necesariamente la e)istencia de una debilidad que ha de sercorregida.
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
25/26
Modelo conceptual de la e5posición delin4orme fnal
Flu*o del.ec.o ode)ilidad:
• F Ca de ser relevante para el auditor y pera el cliente.•
F Ca de ser e)acto, y adems convincente.•F o deben e)istir hechos repetidos.4 Cecho encontrado.
•F Las consecuencias deben redactarse de modo quesean directamente deducibles del hecho.5 ;onsecuencias del
hecho
•F 8e redactar las inHuencias directas que el hechopueda tener sobre otros aspectos in$ormticos u otrosmbitos de la empresa.
6 epercusi"n delhecho
•F o deben redactarse conclusiones ms que en loscasos en que la e)posici"n haya sido muy e)tensa o
comple#a.7 ;onclusi"n del hecho
• F 9eber entenderse por sí sola, por simple lectura.• F 9eber estar sufcientemente soportada en el propio te)to.• F 9eber ser concreta y e)acta en el tiempo, para que pueda ser verifcadasu implementaci"n.
• F La recomendaci"n se redactar de $orma que vaya dirigida e)presamente ala persona o personas que puedan implementarl
ecomendaci"n delauditor in$ormtico
-
8/16/2019 clase04-unidad-2-metodologc3ada.pptx
26/26
Carta de introducción opresentación del in4orme fnal La carta de introducci"n tiene especial importancia porque en
ella ha de resumirse la auditoría realizada. 8e destinae)clusivamente al responsable m)imo de la empresa, o a lapersona concreta que encargo o contrato la auditoría.
La carta de introducci"n poseer los siguientes atributos:
1endr como m)imo 7 $olios. Incluir $echa, naturaleza, ob#etivos y alcance. ;uantifcar la importancia de las reas analizadas. &roporcionar una conclusi"n general, concretando las reas
de gran debilidad.
&resentar las debilidades en orden de importancia ygravedad.
En la carta de Introducci"n no se escribirn nuncarecomendaciones.