metodologia auditoria informatica

8/7/2019 METODOLOGIA AUDITORIA INFORMATICA

1/31

METODOLOGA DE LAAUDITORA

INFORMTICA


2/31

Metodologa de la Auditora Informtica 2

Fases de Metodologa de Auditora Informtica

1. Identificar elAlcance y losObjetivos de la AuditoraInformtica (A.I.)

2. Realizar elEstudio Inicial del entorno a auditar 3. Determinar losRecursos necesarios para realizar la

auditora4. Elaborar elPlan de Trabajo5. Realizar las Actividades de Auditora

6. Realizar elInforme Final7. Carta de Presentacin y Carta de Manifestaciones


3/31


1. Alcance y Objetivos de la A.I.: Alcance

Entorno y lmites en que se realizar la A.I.HASTA DNDE SE LLEGAAcuerdo por escrito (entre auditor y cliente) cuando se

incluyen reas no informticas o cuando la empresa tienevarias sedes, de: Funciones (Seguridad, Direccin, etc.) Materias (S.O., BD, etc.) Departamentos o reas Organizativas (Explotacin, Sistemas,

Comunicaciones, etc.)

Su no definicin pondr en peligro el xito de la A.I.Limitaciones: QU DEJA DE AUDITARSE

Principalmente en materias que pueden suponerse incluidas


4/31


1. Alcance y Objetivos de la A.I.: Objetivos

Auditor debe comprender con exactitud los deseos ypretensiones del cliente, para cumplir con los objetivosObjetivos especficos

Necesidad de auditar una materia de gran especializacin Contrastar algn informe interno con el que resulte del externo Evaluacin del funcionamiento de reas informticas en un

determinado departamento Aumentos de seguridad y fiabilidad Aumento de calidad Disminucin de costes o plazos

Objetivos generales (comunes a toda A.I.) Operatividad de los S.I. Controles Generales de la Gestin Informtica


5/31



Operatividad Funcionamiento, aunque sea mnimo, de la organizacin y susmquinas (PCs, mainframes)

Conseguida a escala general y parcial (p.e. cajero y lneas) Conseguida a travs de:

Controles Tcnicos Generales (p.e. CPD diferentes) Sistema operativo y software de base funcionan

simultneamente con aplicaciones Hw y Sw compatibles

Controles Tcnicos Especficos Espacio en disco Perodo de utilizacin de BD comunes


6/31



Controles Generales de la Gestin Informtica Verificar normas del Departamento de Informtica y observar suconsistencia con las del resto de la empresa

Normas Generales de la Instalacin InformticaProcedimientos Generales y Especficos del Departamento de

Informtica (p.e. una aplicacin no pasa a Explotacin sin sucorrespondiente Documentacin) Comprobar que no existen contradicciones con normas y

procedimientos generales de la empresaInterlocutores

Personas con poder de decisin y validacin dentro de la empresa Personas a las que va dirigido el informe


7/31


2. Estudio Inicial

Examinar situacin general de funciones y actividadesgenerales de la informticaConocimiento de:

Organizacin: Estructura organizativa del Departamento deInformtica a auditar

Entorno de Operacin: Entorno de trabajo Aplicaciones Informticas: Procesos informticos realizados en la

empresa auditadaBases de DatosFicheros


8/31


2. Estudio Inicial: Organizacin

Estructura organizativa del Departamento de Informtica aauditar.Organigrama: estructura informtica de la organizacin a

auditar

CONTROL GESTIN RR. HH.

PRODUCCIN PLANIFICACIN SOPORTETCNICO

EXPLOTACIN

COMUNICACIN BASES DATOS

SISTEMAS DESARROLLO SEGURIDAD

DIRECCIN


9/31


2. Estudio Inicial: OrganizacinDepartamentos: describir sus funcionesRelaciones Jerrquicas y funcionales

1 Empleado con dos JefesFlujos de Informacin, tanto horizontales y oblicuas como

extradepartamentales y verticales Canales alternativos que denotan lagunas en la estructura yorganigrama, o bien por simpatas

Nmero de Puestos de Trabajo Nombres de los puestos de trabajo corresponden a funciones

distintas: Deficiencias en estructura si varios nombres con 1 funcin

Nmero de Personas por Puesto de Trabajo Distribucin de recursos ineficiente Necesidad de reorganizacin


10/31


11/31


2. Estudio Inicial: Aplicaciones Informticas

Procedimientos Informticos realizados en la empresaVolumen, Antigedad y Complejidad de las aplicaciones Periodicidad de ejecuciones de carga de trabajo

Metodologa de desarrollo de aplicaciones

Documentacin de aplicaciones Mantenimiento es el 70% de recursosCantidad y Complejidad de Bases de Datos y Ficheros

Tamao y caractersticas de BD y Ficheros Nmero de Accesos a BD y Ficheros Frecuencia de Actualizacin


12/31


3. Recursos de la A.I.

A partir del Estudio Inicial, se determinan los recursoshumanos y materialesRecursos Materiales

Proporcionados por cliente en su mayora Software: paquetes de auditora del equipo auditor, compiladores Hardware: PCs, impresoras, lneas de comunicacin Determinacin de incremento de carga del auditado y consenso en

fechas y duracin de actividades de auditoraRecursos Humanos

Cantidad depende del alcance de la auditora Perfil depende de la materia a auditar


13/31


14/31


4. Plan y Asignacin de TrabajosCalendario de actividades a realizar aprobado por responsables de rea y

de auditoraAspectos a tener en cuenta:

Plan por grandes reas: Elaboracin ms compleja y costosa queimplica superior calidad, ms tiempo total y mayores recursos

Plan por reas especficas: Resultado obtenido ms rpidamente y

con menor calidad Auditora de toda la Informtica o Parcial: determinacin delnmero de auditores y especialistas

Planificacin de la Auditora (Gua ISACA) Conocimiento de la organizacin y de sus procesos, para

identificar problemas potenciales, alcance, etc. Programa de auditora: Calendario de trabajo (tareas y recursos) y

su seguimiento Evaluacin interna del control, mediante pruebas de cumplimiento

de loscontroles


15/31


16/31


5. Actividades de la A.I.: Tcnicas: CuestionarioOb jetivo e o trol les so los proce imie tos e

co trol correspo ie tes a este o b jetivo?

1. M odi icacin en las aplicaciones

a ireccin debera establecer procedimientos adecuados para asegurar que se controlan las modi icaciones quepuedan producirse en las aplicaciones.

Tener en cuenta los siguientes aspectos:

R evisa o est implicada la direccinen la implantacin y el control de lasmodi icaciones que se realicen en lasaplicaciones?.

R ecoge la direccin comentarios delos usuarios sobre la calidaduncionaly operacional de las operaciones?.

R evisa la direccin los in ormes

correspondientes o participa en laspruebas a las que se someten lasmodi icaciones, incluyendoin ormacin sobre el volumen demodi icaciones realizadas en lasaplicaciones, cambios de emergencia,solicitudes sin atender, etc.


17/31


5. Actividades de la A.I.: Herramientas

Cuestionario generalCuestionario-ChecklistSimuladores (generadores de datos)Paquetes de Auditora (generadores de programas)

Rastrear los caminos de los datos Utilizados principalmente en auditoras no informticas Paquetes de parametrizacin de libreras


18/31


5. Actividades de la A.I.Movilizacin

Mantener reunin de planificacin inicial para:Determinar el proceso ms eficaz-rentable de obtencin deinformacinDeterminar el uso de especialistas / herramientas sectoriales

Entorno de Control Registrar y evaluar el entorno de control de la empresa

Informacin del negocio/sector Planificar la utilizacin de tecnologa Obtener comprensin del negocio, estructura, riesgos

Discutir preocupaciones, necesidades, expectativasInformacin sobre los sistemas y el entorno informtico Evaluando los controles de supervisin


19/31


5. Actividades de la A.I.

Estrategia de auditora Reunin de planificacinPreparar los programas de auditora

Para las reas de auditora, analizando riesgos de error y fraudesidentificados

Preparar un plan de tareas Calendario e informacin a entregar del cliente Plan de tareas, con asignacin de tiempos Roles y responsabilidades de miembros del equipo auditor y

estrategia para comunicacin para revisar, asignar tareas y acordar objetivos

Establecer medidas para supervisar el progreso, incluyendoreuniones peridicas


20/31



Comunicacin del plan Informar a los miembros del equipo Presentar al cliente el plan de auditora

Ejecucin Documentar, evaluar y probar controles de supervisin de las

aplicaciones Informar al cliente sobre estado del trabajo y conclusiones

alcanzadasOtros procedimientos de auditora

Informes finalesRevisin

Completar los pasos y tareas del trabajo


21/31



Finalizacin Completar y revisar el tratamiento informtico. Responder aexcepciones

Aspecto crticos importantes han sido resueltos, documentados ycomunicados al cliente y al equipo

Carta de manifestaciones del cliente Firma del auditor Informacin al cliente

Comunicar las debilidades significativas de control interno y lasrecomendaciones oportunas

Evaluaciones Calidad del servicio en relacin con las expectativas del cliente


22/31


6. Informe Final: Gua ISACA

Relacin con los Estndares Estndar 070.010: Contenido e Impreso del Informe El Informe de Auditora indica:

AlcanceObjetivos

Perodo de coberturaNaturaleza y extensin del trabajo de auditoraOrganizacinDestinatarios del informeRestriccionesHallazgosConclusionesRecomendaciones


23/31


6. Informe Final: Gua ISACANecesidad de la gua

Describir prcticas recomendadas para preparar un informe deauditora

Realizacin del informe Estilo y Contenido: Objetivo, claro, conciso, constructivo y

oportunoApropiado a los destinatariosIdentificar organizacin auditadaIncluye ttulo, firma y fecha

Objetivos (lo que trata de cumplir la auditora) Alcance: naturaleza, tiempo y extensin del trabajo de auditora

rea funcionalPerodo de auditoraSistemas de informacin, aplicaciones o entornos auditados


24/31


6. Informe Final: Gua ISACARealizacin del Informe (continuacin)

Restriccin sobre su distribucin Hallazgos significativos de la auditora (causas y riesgos) Conclusin: evaluacin del auditor sobre el rea auditada Recomendaciones, para realizar acciones correctivas Presentacin: lgica y organizada Estar a tiempo para fomentar las acciones correctivas puntualmente Consideraciones de eventos subsiguientes

Fraude descubierto despus de la auditoraIncendio despus de la revisin de controles

tica y estndares profesionalesActividades subsiguientes Peticin de contestacin, que incluya las acciones correctivas

como resultado del informe


25/31


7. Otra DocumentacinCarta de Presentacin del Informe Final

Resumen en 3 4 folios del contenido del informe final Incluye fecha, naturaleza, objetivos y alcance de la auditora Cuantifica la importancia de las reas analizadas Proporciona una conclusin general, concretando las reas de gran

debilidad Presentar las debilidades en orden de importancia

Carta de Manifestaciones La Direccin de la empresa auditada confirma que se han mostrado

transparente y han proporcionado toda la informacin necesariapara la auditora

En papel con membrete de la empresa auditada Firman los responsables de los reas relacionados con la auditora:

Presidente, Consejero Delegado, Director General


26/31


8. Estructura del Informe FinalTtulo o Identificacin del Informe

Distinguirlo de otros informesFecha de ComienzoMiembros del Equipo Auditor Entidad auditadaIdentificacin de destinatariosFinaliza con

Nombre, Direccin y Datos Registrales del Auditor Firma del Auditor Fecha de emisin del informe


27/31


8. Estructura del Informe FinalObjetivos y Alcance de la Auditora

Estndares, especificaciones, prcticas y procedimientos utilizados Excepciones aplicadas

Materias consideradas en la auditora Situacin actual

Hechos importantesHechos consolidados

Tendencias, de situacin futura Puntos dbiles y amenazas (hecho = debilidad)

Hecho encontradoConsecuencias del hecho

Repercusin del hecho (influencias sobre otros aspectos)Conclusin del hecho Recomendaciones Redaccin de la Carta de Presentacin


28/31


8. Estructura del Informe Final: Tipos de InformesFuncin de opinin del auditor respecto a los objetivos de la

auditoraFavorable o sin salvedades: trabajo realizado

Sin limitaciones de alcance y sin incertidumbre De acuerdo con la normativa legal y profesional

Con salvedadesDesfavorable Identificacin de irregularidades Incumplimiento de la normativa legal y profesional que afecte a

significativamente a los objetivos estipuladosDenegada

Limitaciones al alcance Incertidumbres significativas Irregularidades Incumplimiento de normativa lega y profesional


29/31


30/31


8. Estructura del Informe Final: Pautas del Lenguaje yRedaccin del Informe

Ttulos: expresivos y brevesPrrafos

Un solo asunto por prrafo 8 10 lneas por prrafo

Frases Una sola idea por frase No ms de 3 lneas

Otros consejos Lenguaje sobrio y normal Voz activa, nunca pasiva Omitir palabras innecesarias (con referencia a, consecuentemente con,

etc.) Evitar redundancias No utilizar adverbios y adjetivos simultneamente


31/31


ADVERBIOS

Los adverbios son palabras que modifican a un verbo, un adjetivo o aotro adverbio. En la oracin funcionan como circunstanciales oformando parte de modificadores. Son invariables, ya que no tienengnero ni nmero.

metodologia auditoria informatica

Documents