Upload
cjmm2011
View
761
Download
4
Embed Size (px)
DESCRIPTION
Auditoria de Sistemas a la Municipalidad
Citation preview
La auditoría de sistemas de centros de proceso electrónico de datos
(PED), se define como una auditoría que abarca la revisión y
evaluación de todos los aspectos de los sistemas automáticos de
procesamiento de la información, incluidos los procedimientos no
automáticos relacionados con ellos; también podemos decir que es el
examen y evaluación de los procesos del PED y de la utilización de los
recursos que en ellos intervienen, para llegar a establecer el grado deeficiencia, efectividad y economía de los sistemas computarizados en
una empresa y presentar conclusiones y recomendaciones
encaminadas a corregir las deficiencias existentes y mejorarlas.
Los Sistemas de Información en las organizaciones, son desarrollados
con propósitos diferentes dependiendo de las necesidades de cada
una de ellas, donde se evalúan y verifican las políticas, controles,
procedimientos y la seguridad en general, correspondiente al uso delos recursos de informática por el personal de la empresa (usuarios,
informática, alta dirección), a fin de que se logre una utilización más
eficiente y segura de la información que servirá para una adecuada
toma de decisiones.
INTRODUCCION
• “La Municipalidad Provincial de Tacna trabaja paraconseguir el desarrollo económico de la ciudad, paraconvertirla en una ciudad más Turística y comercial, paratener eficientes servicios públicos y ser una ciudadmoderna, tecnológica, segura, altamente competitiva y conhabitantes de excelente calidad de vida”.
ANTECEDENTES DE EMPRESA
VISIÓN
Es nuestra Visión como Institución: Modernizar yhacer más eficiente la administración municipal, paraque el servicio público municipal tenga como valoresesenciales el profesionalismo y transparencia, y quesus ciudadanos participen directamente en elcrecimiento de la ciudad.
MISIÓNSomos una institución de servicio a la comunidad, cuyo fin es la promoción laboral y empresarial para mejorar la calidad de vida del pueblo Tacneño con la asistencia en salud y educación.
1. ALCANCE
La presente auditoria se realizará enfocándose en los
sistemas de Centros de Proceso Electrónico de Datos (PED)
en computadoras personales que estén conectados a la red
interna de la Municipalidad Provincial de Tacna.
Personal encargado Especialidad
Jacinto Coaquira María Lourdes Auditor especialista
Pongo Flores Katia Beatriz Ing. De Sistemas
Ticahuanca Guerra Mary Luz Asistente de Auditor
2. PERSONAL ENCARGADO
NORMAS PERSONALES
•El auditor deberá poseer preparación técnica y capacidad profesional adecuada.•Deberá observar diligencia profesional en la ejecución del trabajo y en laelaboración del informe.•Deberá adoptar una actitud independiente.
•Evaluar el funcionamiento y seguridad de lossistemas informáticos de la empresa, así comorealizar un estudio de las operaciones del mismoque permita generar un respaldo en la emisión delinforme a la auditoría practicada la cual servirá parauna adecuada toma de decisiones.
3. OBJETIVO
OBJETIVOS ESPECIFICOS
Evaluar el diseño y prueba de los sistemas del área de Informática
Determinar la veracidad de la información del área de Informática
Verificar si la selección de equipos y Sistemas de computación es adecuada.
Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pcs.
Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del orden
dentro del departamento de cómputo.
NGAS N° 5“Planeación”
El auditor de SI debe desarrollar ydocumentar un plan de auditoría quedetalle la naturaleza y los objetivos dela auditoría, los plazos y alcance, asícomo los recursos requeridos
NORMA(S), GUÍA DE AUDITORÍA DE SI YMARCO REFERENCIAL DEL COBIT
S5 – Planeación, S11 – Gobernabilidad de TI S15 - Controles de TI, G15– Planeación, G16 – Efectos de terceros en los controles de TI de unaorganización y Marco Referencial del COBIT, Objetivos de Control.
PROCEDIMIENTO(S) Y TÉCNICAS(S) Objetivos de controles y objetivos de auditoríaProcedimiento de auditoría: Revisión de la documentación de sistemase identificación de controles existentes.
4. METODOLOGÍA A APLICAR
RECOPILACIÓN DE INFORMACIÓN BÁSICA
La documentación utilizada durante la auditoria, será en primer lugar de tipo
descriptivo o sea basada en la narración verbal de los
procedimientos, las cuales son conocidas como cedulas narrativas.
MÉTODO DESCRIPTIVO
RECOPILACIÓN DE INFORMACIÓN BÁSICA
En segundo lugar, los procedimientos se documentaran a través de la
preelaboraccion de preguntas, contestadas personalmente por los encargados de la empresa o por el personal encargado de los sistemas
informáticos y por algunas usuarios de la empresa que tenga relación con el
mismo.
MÉTODO DE CUESTIONARIO
NGAS N° 6“REALIZACIÓN DE
LABORES DE AUDITORÍA”
Evidencia—Durante el transcurso de la auditoría, el auditor de SI debeobtener evidencia suficiente, confiable y pertinente para alcanzar losobjetivos de auditoría. Los hallazgos y conclusiones de la auditoríadeberán ser soportados mediante un apropiado análisis e interpretaciónde dicha evidencia
5. ENFOQUE A UTILIZAR
La presente acción de control, se realiza de acuerdo con el organismo central
y rector de los Sistemas Nacionales de Estadística e Informática, responsable
de normar, supervisar y evaluar los métodos, procedimientos y técnicas
estadísticas e informáticas utilizados por los órganos del Sistema INEI
(Instituto Nacional de Estadística e Informática), Normas Internacionales de
Auditoria (NIA); habiéndose aplicado procedimientos de Auditoria que se
consideraron necesarios de acuerdo a las circunstancias.
6. PRUEBAS A REALIZAR
Son los procedimientos que se llevaran a cabo a fin de verificar el cumplimiento de los objetivos establecidos. Entre ellas podemos mencionar las siguientes técnicas:
•Tomar maquinas al azar y evaluar la dificultad de acceso a las mismas.•Intentar sacar datos con un dispositivo externo.•Facilidad para desarmar una PC.•Facilidad de accesos a información de confidencialidad (usuarios y claves).•Verificación de contratos.•Comprobar que luego de 5 minutos de inactividad los usuarios se deslogueen.
7. OBTENCIÓN DE LOS RESULTADOS
En esta etapa se obtendrán los resultados que surjande la aplicación de los procedimientos de control y laspruebas realizadas a fin de poder determinar si secumple o no con los objetivos de control antesdefinidos. Los datos obtenidos se registrarán enplanillas realizadas a medida para cada procedimientoa fin de tener catalogado perfectamente los resultadoscon el objetivo de facilitar la interpretación de losmismos y evitar interpretaciones erróneas.
NGAS N° 9“IRREGULARIDADES Y ACCIONES ILEGALES
”
El auditor de SI debe mantener una actitud deescepticismo profesional durante la auditoría,reconociendo la posibilidadde que podrían existir declaracionesmaterialmente incorrectas debido airregularidades y acciones ilegales,independientemente de su propia evaluacióndel riesgo de irregularidades y accionesilegales.
8. CONCLUSIONES Y COMENTARIOS:
En este paso se detallara el resumen de toda lainformación obtenida, así como lo que se derivade esa información, sean fallas de seguridad,organización o estructura empresarial.
Se expondrán las fallas encontradas, en la seguridad físicasean en temas de resguardo de información (Casos deincendio, robo), manejo y obtención de copias de seguridad,en las normativas de seguridad como por ejemplonormativas de uso de passwords, formularios de adquisiciónde equipos, y estudios previos a las adquisiciones paracomprobar el beneficio que los mismos aportarían.Finalmente se verán los temas de organización empresarial,como son partes responsables de seguridad, mantenimientoy supervisión de las otras áreas.
9. REDACCIÓN DEL INFORME RESUMEN Y CONCLUSIONES:
• En este paso es donde se muestran los verdaderos resultados alos responsables de la empresa, el informe presentado dará aconocer todos los puntos evaluados durante la auditoria,resultados, conclusiones y las posibles soluciones.
• La conclusión tendrá como temas los resultados, errores,puntos críticos y observaciones de los auditores.
•Esta es la última parte de la auditoria operativa enfocada en los centros de procesos electrónico de datos (PED), en la cual en una reunión previamente acordada se formaliza la entrega del informe final con los resultados obtenidos en la auditoria.•
•También se fijan los parámetros, si así se requieren para realizar el seguimientos de los puntos en los que el resultado no haya sido satisfactorio.
10. ENTREGA DEL INFORME A LOS DIRECTIVOS DE LA EMPRESA:
11. CRONOGRAMA DE ACTIVIDADES
No. ACTIVIDAD O TAREA
SEMANA 1 SEMANA 2 SEMANA 3 SEMANA 4
1 Realización de Visita preliminar X
2 Elaboración de Plan de Auditoría X
3Elaboración de Cuestionario de Control interno X
4 Visita para contestar el cuestionario de control
interno X
5 Análisis del cuestionario y elaboración de
Planilla de Decisiones Preliminares X
6 Ejecución de las actividades presentadas en el
Programa de Auditoría X
7Revisión de sistema de redes X
8 Presentación del informe de Auditoría X
CRONOGRAMA
NGAS N° 7“Reporte”
El auditor de SI debe
suministrar un informe al
finalizar la auditoría
NGAS N° 6“Ejecución de la Auditoría”
El auditor de SI debe ser
supervisado, encontrar evidencia
suficiente y elaborar
documentación que sustente sus
labores.
PROGRAMA DE AUDITORÍAPASO Nº PROCEDIMIENTOS FECHA
1.1
1.2
1.3
OBJETIVO Nro. 01.
Verificar e implementar un software que satisfaga losrequerimientos de la institución
PROCEDIMIENTOSSolicite los documentos normativos que regulan elAREA DE IMFORMATICA .
Verificar si elaboran algún informe diaria sobre elfuncionamiento adecuado de software que se estausando.
Verifique y realice un estudio sobre la capacidad delsoftware que se esta usando en esta área.
Del 15 al 20 de enero
20 al 22 enero
22 al 25 enero
25 al 30 de enero
2.1
2.2
2.3
OBJETIVO Nro. 02.
Verifíquese si se esta optimizando la integración, uso yestandarización de sus sistemas de información de maneraque se identifique, capture y comunique, en formacompleta, exacta y oportuna, sólo la información que lainstitución requiera.
PROCEDIMIENTOSSolicite los documentos : Normas técnicas entecnologías de información y comunicaciones
Realizase el análisis de capacidad de TI, riesgos, y elmonitoreo del entorno
Verifíquese que el personal encargado esteadecuadamente capacitado.
12 al 18 de Febrero
18 al 23 de Febrero
24 al 30 de Febrero
01 al 10 de marzo
NGAS N° 5
“Planeación”
El auditor de SI debe desarrollar un
programa y/o plan de auditoría
detallando la naturaleza, los plazos y el
alcance de los
procedimientos requeridos para
completar la auditoría.
La auditoria de sistemas informáticos se encuentra principalmentebasada en las NGAS, las cuales son consideradas como requisitosbásicos para realizar un eficiente labor del auditor de sistemas .
La auditoria de sistemas de información deberá comprender no sólola evaluación de los equipos de cómputo, de un sistema oprocedimiento específico, sino que además se deberá evaluar lossistemas de información en general desde la obtención de lainformación.
CONCLUSIONES
La auditoria de sistemas es de vital importancia para el buendesempeño de los sistemas que utiliza la empresa, ya queproporciona los controles necesarios para que los sistemas tengan unbuen nivel de seguridad y de esta manera puedan ser confiables yeficientes.