Upload File

trabajo-proceso de la auditoria

24
República Bolivariana de Venezuela Ministerio del Poder Popular para la Defensa Universidad Nacional Experimental de las Fuerzas Armadas Ingeniería de sistema 9 semestre nocturno Auditoria de Sistemas PROCESO DE AUDITORIA AUTOR: Kervin Cortez C.I: 21.282.519 Juan Martínez C.I 18.388.229 TUTOR:

Upload: naujbass

Post on 16-Nov-2015

221 views

Category:

Documents


4 download

Report

DESCRIPTION

Trabajo-Proceso de La Auditoria

TRANSCRIPT

Repblica Bolivariana de VenezuelaMinisterio del Poder Popular para la DefensaUniversidad Nacional Experimental de las Fuerzas ArmadasIngeniera de sistema 9 semestre nocturnoAuditoria de Sistemas

PROCESO DE AUDITORIA

AUTOR:Kervin Cortez C.I: 21.282.519Juan Martnez C.I 18.388.229

TUTOR:Jess MosqueraOcumare del Tuy, Marzo 2015

Indic

Introduccin1Tpicos Generales2Determinacin del rea a Auditar4Riesgos ms comunes4Planificacin de contingencias6Planificacin de la Auditoria9Asignacin de Recursos de auditora.10Tcnicas de recopilacin de evidencias.11Informe de auditora11Conclusin13Referencias Bibliogrficas14

Introduccin

La auditora de sistemas juega un papel importante en las organizaciones y/o instituciones de hoy en da , el cual es principalmente un conjunto de procedimientos y tcnicas para evaluar y controlar total o parcialmente un sistema informtico con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente de acuerdo con las normas informticas y generales existentes en cada empresa y para conseguir la eficacia exigida en el marco de la organizacin correspondiente.Tanto la auditoria de sistemas como el anlisis de riesgos constituyen la metodologa de evaluacin de sistemas , no obstante el anlisis de riesgos tiende a dar recomendaciones para accionar en base al costo-beneficio , mientras que la auditoria de sistemas identifica el nivel de exposicin por falta de controles que actualmente posee el sistema. Se requieren varios pasos para realizar una auditora. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditora que consta de objetivos de control y procedimientos de auditora que deben satisfacer esos objetivos en hars de mejorar el funcionamiento de los sistemas de informacin y tecnolgicos que posee la organizacin o empresa. Es por ello que esta investigacin pretender mencionar los pasos que deben cumplirse en la auditoria de sistemas, englobndolos como proceso de auditora a fin de entender a detalle el procedimiento que deber seguir el auditor de sistemas para garantizar el cumplimiento de una auditoria de calidad y estandarizada.

Tpicos Generales

Se entiende que la auditoria informtica comprende las tareas de evaluar, analizar los procesos informticos, el papel de auditor debe estar encaminado hacia la bsqueda de problemas existentes dentro de los sistemas utilizados, y a la vez proponer soluciones para estos problemas, por tanto existen algunos tpicos o definiciones bsicas para comprender el accionar de una auditoria de sistemas, entre los que se encuentran: Amenaza: Una persona o cosa vista como posible fuente de peligro o catstrofe (inundacin, incendio, robo de datos, sabotaje, agujeros publicados, etc.) Vulnerabilidad: La situacin creada, por la falta de uno o varios controles, con los que la amenaza pudiera acaecer y as afectar al entorno informtico (falta de control de acceso lgico, de versiones, inexistencia de un control de soporte magntico, etc. Riesgo: La probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad (los datos estadsticos de cada evento de una base de datos de incidentes). Exposicin o Impacto: La evaluacin del efecto del riesgo. (Es frecuente evaluar el impacto en trminos econmicos, aunque no siempre lo es, como vidas humanas, imgenes de la empresa, honor.

En base a estos tpicos se presenta la necesidad de llevar a cabo un proceso de auditora, donde el principal objetivo es identificar la exposicin de vulnerabilidades que conllevan a ciertos riesgos en los sistemas de informacin implementados en la organizacin o institucin donde se llevara a cabo dicha auditoria.Llevar a cabo una auditora de sistemas requiere una serie ordenada de acciones y procedimientos especficos, los cuales debern ser diseados previamente de manera secuencial, cronolgica y ordenada, de acuerdo a las etapas, eventos y actividades que se requieran para su ejecucin , a continuacin se muestra la metodologa sugerida para realizar una auditora de sistemas.

Una planificacin adecuada es el primer paso necesario para realizar auditoras de sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditora as como los riesgos del negocio y control asociado, basando todo su esfuerzo en los pasos descritos en la imagen anterior.Determinacin del rea a Auditar

El auditor de sistemas debe tener una comprensin suficiente del ambiente total que se revisa. Debe incluir una comprensin general de las diversas prcticas comerciales y funciones relacionadas con el tema de la auditora, as como los tipos de sistemas que se utilizan. El auditor de sistemas tambin debe comprender el ambiente normativo en el que opera el negocio. Por ejemplo, a un banco se le exigir requisitos de integridad de sistemas de informacin y de control que no estn presentes en una empresa manufacturera. Los pasos que puede llevar a cabo un auditor de sistemas para obtener una comprensin del negocio son: Recorrer las instalaciones del ente. Lectura de material sobre antecedentes que incluyan publicaciones sobre esa industria, memorias e informes financieros. Entrevistas a gerentes claves para comprender los temas comerciales esenciales. Estudio de los informes sobre normas o reglamentos. Revisin de planes estratgicos a largo plazo. Revisin de informes de auditoras anteriores. Inventario de los sistemas implantados. Riesgos ms comunes

Se puede definir los riesgos de auditora como aquellos riesgos de que la informacin pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Los riesgos en auditora pueden clasificarse de la siguiente manera: Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de deteccin: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusin de que no existen errores materiales cuando en realidad los hay. La palabra "material" utilizada con cada uno de estos componentes o riesgos, se refiere a un error que debe considerarse significativo cuando se lleva a cabo una auditora. En una auditora de sistemas de informacin, la definicin de riesgos materiales depende del tamao o importancia del ente auditado as como de otros factores. El auditor de sistemas debe tener una cabal comprensin de estos riesgos de auditora al planificar. Una auditora tal vez no detecte cada uno de los potenciales errores en un universo. Pero, si el tamao de la muestra es lo suficientemente grande, o se utiliza procedimientos estadsticos adecuados se llega a minimizar la probabilidad del riesgo de deteccin. De manera similar al evaluar los controles internos, el auditor de sistemas debe percibir que en un sistema dado se puede detectar un error mnimo, pero ese error combinado con otros, puede convertir en un error material para todo el sistema. La materialidad en la auditora de sistemas debe ser considerada en trminos del impacto potencial total para el ente en lugar de alguna medida basado en lo monetario.Al determinar que reas funcionales o temas de auditora que deben auditarse, el auditor de sistemas puede enfrentarse ante una gran variedad de temas candidatos a la auditora, el auditor de sistemas debe evaluar esos riesgos y determinar cules de esas reas de alto riesgo debe ser auditada. Existen cuatro motivos por los que se utiliza la evaluacin de riesgos, estos son:1. Permitir que la gerencia asigne recursos necesarios para la auditora. 2. Garantizar que se ha obtenido la informacin pertinente de todos los niveles gerenciales, y garantiza que las actividades de la funcin de auditora se dirigen correctamente a las reas de alto riesgo y constituyen un valor agregado para la gerencia. 3. Constituir la base para la organizacin de la auditora a fin de administrar eficazmente el departamento. 4. Proveer un resumen que describa como el tema individual de auditora se relaciona con la organizacin global de la empresa as como los planes del negocio.Planificacin de contingenciasPor otra parte siempre debe existir un plan de contingencias en las organizaciones y es por ello el auditor debe evaluar si los mecanismos de contingencia son lo suficientemente robustos para abarcar situaciones difciles y de alto impacto .En si la contingencia es una estrategia planificada constituida por: Un conjunto de recursos de respaldo. Una organizacin de emergencia. Unos procedimientos de actuacin.Encaminada a conseguir una restauracin progresiva y gil de los servicios de negocio afectados por una paralizacin total o parcial de la capacidad operativa de la empresa. Por tanto un Plan de contingencias contiene las medidas tcnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una empresa.Un plan de contingencias es un caso particular de plan de continuidad del negocio aplicado al departamento de informtica o tecnologas. Dada la importancia de las tecnologas en las organizaciones modernas, el plan de contingencias es el ms relevante. En la elaboracin del plan de contingencia, entra en juego las siguientes fases:

Fase 1 (Anlisis y Diseo): Se estudia la problemtica, las necesidades de recursos, las alternativas de respaldo, y se analiza el coste/beneficio de las mismas. Tomando en cuenta dos familias metodolgicas:1. Anlisis de Riesgo: se basan en el estudio de los posibles riesgos desde el punto de vista de probabilidad de que los mismos sucedan.2. Impacto de Negocio: se basan en el estudio del impacto (prdida econmica o de imagen) que ocasiona la falta de algn recurso de los que soporta la actividad del negocio. Permiten hacer estudios coste/beneficio que justifican las inversiones con ms rigor que los estudios de probabilidad que se obtienen con los anlisis de riegos.

Fase 2 (Desarrollo del Plan): Se desarrolla la estrategia seleccionada, implantndose hasta el final todas las acciones previstas. Adems se analiza la vuelta a la normalidad, dado que pasar de la situacin normal a la alternativa debe concluirse con la restitucin de la situacin inicial antes de la contingencia.

Fase 3 (Pruebas y Mantenimiento): Se definen las pruebas, sus caractersticas y sus ciclos, y se realiza la primera prueba como comprobacin de todo el trabajo realizado, as como mentalizar al personal implicado. Adems se define la estrategia de mantenimiento, la organizacin destinada a ello y la normativa y procedimientos necesarios para llevarlo a cabo.

En la prctica, los planes de contingencias deben abarcar los siguientes escenarios:

Por ejemplo, la empresa sufre un corte total de energa o explota, Cmo sigo operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la informacin diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de sta. Una empresa puede tener unas oficinas paralelas que posean servicios bsicos (luz, telfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le provea telfono Telecom, a las oficinas paralelas, Telefnica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizara el Backup para seguir operando en las oficinas paralelas.

Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y despus se van reciclando.Planificacin de la Auditoria

Un programa de auditora es un conjunto documentado de procedimientos diseados para alcanzar los objetivos de auditora planificados. El esquema tpico de un programa de auditora incluye lo siguiente:a. Tema de auditora: Donde se identifica el rea a ser auditada. b. Objetivos de Auditora: Donde se indica el propsito del trabajo de auditora a realizar. c. Alcances de auditora: Aqu se identifica los sistemas especficos o unidades de organizacin que se han de incluir en la revisin en un perodo de tiempo determinado. d. Planificacin previa: Donde se identifica los recursos y destrezas que se necesitan para realizar el trabajo as como las fuentes de informacin para pruebas o revisin y lugares fsicos o instalaciones donde se va auditar. e. Procedimientos de auditora: para: Recopilacin de datos. Identificacin de lista de personas a entrevistar. Identificacin y seleccin del enfoque del trabajo Identificacin y obtencin de polticas, normas y directivas. Desarrollo de herramientas y metodologa para probar y verificar los controles existentes. Procedimientos para evaluar los resultados de las pruebas y revisiones. Procedimientos de comunicacin con la gerencia. Procedimientos de seguimiento. El programa de auditora se convierte tambin en una gua para documentar los diversos pasos de auditora y para sealar la ubicacin del material de evidencia. Los procedimientos involucran pruebas de cumplimiento o pruebas sustantivas, las de cumplimiento se hacen para verificar que los controles funcionan de acuerdo a las polticas y procedimientos establecidos y las pruebas sustantivas verifican si los controles establecidos por las polticas o procedimientos son eficaces.Asignacin de Recursos de auditora.La asignacin de recursos para el trabajo de auditora debe considerar las tcnicas de administracin de proyectos las cuales tienen los siguientes pasos bsicos: Desarrollar un plan detallado: El plan debe precisar los pasos a seguir para cada tarea y estimar de manera realista, el tiempo teniendo en cuenta el personal disponible. Contrastar la actividad actual con la actividad planificada en el proyecto: debe existir algn mecanismo que permita comparar el progreso real con lo planificado. Generalmente se utilizan las hojas de control de tiempo. Ajustar el plan y tomar las acciones correctivas: si al comparar el avance con lo proyectado se determina avances o retrasos, se debe reasignar tareas. El control se puede llevar en un diagrama de Gantt

Los recursos deben comprender tambin las habilidades con las que cuenta el grupo de trabajo de auditora y el entrenamiento y experiencia que estos tengan. Tener en cuenta la disponibilidad del personal para la realizacin del trabajo de auditora, como los perodos de vacaciones que estos tengan, otros trabajos que estn realizando, etc. Tcnicas de recopilacin de evidencias. La recopilacin de material de evidencia es un paso clave en el proceso de la auditora, el auditor de sistemas debe tener conocimiento de cmo puede recopilar la evidencia examinada. Algunas formas son las siguientes: Revisin de las estructuras organizacionales de sistemas de informacin. Revisin de documentos que inician el desarrollo del sistema, especificaciones de diseo funcional, historia de cambios a programas, manuales de usuario, especificaciones de bases de datos, arquitectura de archivos de datos, listados de programas, etc.; estos no necesariamente se encontrarn en documentos, si no en medios magnticos para lo cual el auditor deber conocer las formas de recopilarlos mediante el uso del computador. Entrevistas con el personal apropiado, las cuales deben tener una naturaleza de descubrimiento no de acusatoria. Observacin de operaciones y actuacin de empleados, esta es una tcnica importante para varios tipos de revisiones, para esto se debe documentar con el suficiente grado de detalle como para presentarlo como evidencia de auditora. Auto documentacin, es decir el auditor puede preparar narrativas en base a su observacin, flujogramas, cuestionarios de entrevistas realizados. Aplicacin de tcnicas de muestreo para saber cundo aplicar un tipo adecuado de pruebas (de cumplimiento o sustantivas) por muestras. Utilizacin de tcnicas de auditora asistida por computador CAAT, consiste en el uso de software genrico, especializado o utilitario. Informe de auditoraLos informes de auditora son el producto final del trabajo del auditor de sistemas, este informe es utilizado para indicar las observaciones y recomendaciones a la gerencia, aqu tambin se expone la opinin sobre lo adecuado o lo inadecuado de los controles o procedimientos revisados durante la auditora, no existe un formato especfico para exponer un informe de auditora de sistemas de informacin, pero generalmente tiene la siguiente estructura o contenido: Introduccin al informe, donde se expresara los objetivos de la auditora, el perodo o alcance cubierto por la misma, y una expresin general sobre la naturaleza o extensin de los procedimientos de auditora realizados. Observaciones detalladas y recomendaciones de auditora. Respuestas de la gerencia a las observaciones con respecto a las acciones correctivas. Conclusin global del auditor expresando una opinin sobre los controles y procedimientos revisados.

Conclusin

El trabajo de auditora es un proceso continuo, se debe entender que no servira de nada el trabajo de auditora si no se comprueba que las acciones correctivas tomadas por la gerencia, se estn realizando, para esto se debe tener un programa de seguimiento, la oportunidad de seguimiento depender del carcter crtico de las observaciones de auditora. El nivel de revisin de seguimiento del auditor de sistemas depender de diversos factores, en algunos casos el auditor de sistemas tal vez solo necesite inquirir sobre la situacin actual, en otros casos tendr que hacer una revisin ms tcnica del sistema. Por ello es tan importante hacer nfasis en cada uno de los pasos descrito en esta investigacin desde la determinacin del rea a ser auditada hasta la elaboracin del informe de auditora , cada uno de esos pasos juega un papel crucial en la aplicacin de una auditoria de sistemas transparente y confiable. En consecuencia el Ingeniero de Sistemas debe tener conocimientos slidos en cuanto a la aplicacin de estas etapas.Es interesante comprender el cmo influye cada uno de los pasos de la auditoria de sistema en la calidad del producto final, fue evidente notar que la comprensin de la auditoria de sistemas pasa por comprender la esencia de la misma, conceptos como; amenaza, vulnerabilidad, riesgo. Definen la forma en que un auditor analice la problemtica de una empresa u organizacin.Esto ltimo basado en un proceso de recoleccin de datos y entrevistas con la alta gerencia para determinar el rea a ser auditada y el alcance en s de la auditoria, luego se deber evaluar los riesgos y contingencias .Todo estos pasos son el insumo para la creacin de un programa detallado de auditoria, donde se definen cada una de las etapas a abarcar en la auditoria de sistemas de informacin, concluyendo con el informe de auditora el cual debe mostrar los resultados.Referencias Bibliogrficas

Mario G Piattini, L. (2001). Auditoria Informtica, Un Enfoque Practico (II ed., Vol. I, pp.). ALFAOMEGA GRUPO EDITOR.Moreno Gimnez, L. (2003). La auditora en la Informtica (I ed., Vol. I, pp.). Colima, Universidad de Colima.

4


Proceso Auditoria Sistema Gestion Calidad

PROCESO PARA REALIZAR AUDITORIA FORENSE

Proceso de Auditoria

Trabajo auditoria ambiental

Auditoria Tributaria Trabajo

Auditoria Trabajo movistar

Trabajo Auditoria Cristal

TRABAJO AUDITORIA FORENSE

Trabajo Auditoria Operacional

Trabajo de Auditoria

Trabajo de Auditoria

Proceso Auditoria de Sistemas 1

Auditoria Financiera - Aplicacion proceso de auditoria

Trabajo auditoria i

Auditoria de Proceso

Trabajo Auditoria Ambiental

Trabajo Final Auditoria

6531467 proceso-de-auditoria

Proceso de La Auditoria Gubernamental

Proceso de Auditoria Operativa

Proceso de auditoria 5_3

Auditoría de Sistemas. 1.Definición Auditoria 2.Definición Auditoria de Sistemas 3.Etapas del proceso de Auditoria 4.Programa de trabajo 5.Hallazgos de

Tarea en Proceso Auditoria Forense

Proceso de Auditoria Nocturna

El proceso administrativo AUDITORIA

auditoria proceso..pptx

04 Proceso de Auditoria Interna

Proceso de Auditoria Administrativa

piagev.ufps.edu.co · Auditoria de Calidad Proceso Gestión Estudiantil, Auditoria de Calidad Proceso Docencia, Auditoria de Calidad Proceso Control Disciplinario, Auditoria de

Trabajo Auditoria

Auditoria trabajo empresa

Trabajo Auditoria Imprimir

Proceso de Auditoria - 2015