Embed Size (px)
Citation preview
Ing. Juan Manuel Lemus PoncianoLibro Texto: Auditoría en Informática Autor: Echenique García, José Antonio
U.M.G, Segundo Semestre 2013
Caso para análisis: El día anterior al cierre del mes, se presentó una incidencia en la
División de Informática: Uno de los equipos de comunicación E1, instalado por el proveedor de acceso a internet, falló en forma inesperada, por lo que se perdió la conectividad de los clientes al sitio Web de la empresa, durante 4 horas, hasta que se pudo obtener el soporte del mismo. Al revisar el equipo, se encontró que los componentes electrónicos se dañaron por la falla del fusible de un UPS que había sido reportado como dañado 15 días antes. Al revisar en bodega, se tenía existencia de dicho fusible. Al consultar al personal técnico, informaron que por tratarse de equipos externos, no tenían autorización para acceder o manipular el mismo, por lo que se limitaron a reportarlo. Adicionalmente, por norma de la empresa, si un equipo no está registrado en el inventario, no puede comprársele ningún tipo de repuesto o aplicarle servicio. Se le solicita:
Explique 3 implicaciones de tener equipo ajeno a la empresa en la misma.
Los técnicos que analizaron el equipo, procedieron adecuadamente? Por Qué?
Proponga 2 probables mejoras para reducir o mitigar los efectos de este tipo de falla en la empresa.
INTRODUCCIÓNEn el registro formal de datos, surgen las
interrogantes:a)En dónde, cómo y para qué concentrar los datos
que se obtienen en la auditoría de sistemas?b)Los datos recopilados sirven para fundamentar
las observaciones y para emitir un dictamen?c)En dónde, cuándo y para qué se registra la
información que se obtiene en la auditoría?d)Qué medios se utilizan para concentrar, validar,
tabular e interpretar los datos obtenidos?
INTRODUCCIÓN, cont.e) Quién es el responsable de registrar,
concentrar y controlar la información recopilada durante la auditoría?
f) En donde, cuándo, por qué y cómo se registra la información documental, la emitida por el sistema computacional y la recopilada directamente en el campo?
g) Qué tan válido es guardar la información recopilada del sistema computacional en medios electromagnéticos?
DEFINICIÓNConjunto de cédulas y documentación
fehaciente que contiene los datos e información por el auditor en su examen, así como la descripción de las pruebas realizadas, las cuales sustenta para emitir un informe.
OBJETIVOS E IMPORTANCIARespaldo y fundamento de:
DictamenCarta de observaciones
Información PosteriorAutoridades fiscalesAutoridades JudicialesOtros auditoresAl cliente o entidad
OBJETIVOS E IMPORTANCIAEVIDENCIACOMPROBAR LA CALIDADGUIA
PRINCIPIOSClaridadExactitudSignificancia en los datosComprobación de la informaciónLegibilidadOrganización
REQUISITOSNombre de la empresa a que se refieran Fecha de realización Título o descripción breve de su
contenidoNombre del evaluador Fuentes o documentos objeto de
evaluación de los datos Descripción del contendido Resultados obtenidos o conclusiones
DEBEN CONTENER:Hoja de identificación.Índice de contenido de los papeles de trabajo.Dictamen preliminar (borrador)Resumen de desviaciones encontradas (Las más importantes).Situaciones encontradas (situaciones, causas y soluciones)Programa de trabajo de auditoria.Guía de la auditoria.Inventarios: Hardware, software, periféricos, instalaciones,
mobiliario, según sea aplicable.Manual de organización.Descripción de puestos.
DEBEN CONTENER: cont.
Reporte de pruebas y resultados.Respaldos (backups) de datos y programas de aplicación de la
auditoría.Respaldos de las bases de datos y los sistemas.Guías de claves para señalamiento de papeles de trabajo.Cuadros y estadísticas concentradores de información.Anexos de recopilación de información.Diagramas de flujo, de programación y de desarrollo de sistemas.Testimoniales, actas y documentos legales de comprobación y
confirmación.Análisis y estadísticas de resultados, datos y pruebas de
comportamiento del sistema.Otros documentos de apoyo.
NO DEBEN CONTENER:
NO SER COPIA DE LA CONTABILIDAD DE LA EMPRESA
NO SER LA COPIA DE LOS ESTADOS FINANCIEROS
NO SER COPIA DE LA AUDITORIA DEL AÑO PASADO
CLASIFICACIÓNPor su uso
Continuo Temporal
Por su ContenidoHojas de trabajoCédulas SumariasRelaciones de
CuentasCédulas de detalle o
analítica
Manejo de los papeles de TrabajoMarcas
Índices
Asientos de Ajustes
Reclasificación
ConsideracionesControl
Confidencialidad
Propiedad
Procesamientos Electrónico de DatosConocimiento
Utilización
Apoyo
Complejidad
CEDULA DE ANÁLISIS DE NOMBRE DE LA EMPRESA
Fecha de Realización
Hora de Inicio Nombre del Evaluador
Area Evaluada:
Documento Evaluado: ¥
DOCUMENTO QUE SE ANALIZAN:Nombre :Objetivo: Lugar de aplicación: Responsable del Documento: Responsable de Realización:
RESULTADO DEL ANÁLISIS:
DESCRIPCIÓN DEL CONTENIDO: Accesos a Internet Rutas de acceso (Niveles de restricción) Claves de acceso (procedimientos de alta, bajas, reportes) Software de seguridad
Instrumentos de recopilación de Información aplicables en la A.S.
Cuestionarios.Preguntas abiertas.Preguntas cerradas.Preguntas dicotómicas.Preguntas tricotómicas.De opción múltipleDe opción de rangos o grupos.Gradación (Preguntas de grados opuestos)Preguntas testigo.Preguntas Matriz.
Instrumentos de recopilación de Información aplicables en la A.S.EntrevistasCiclo de la entrevista de auditoría.Tipos de entrevistas para una auditoria.
Entrevistas libres. Entrevistas dirigidas. Entrevistas de exploración. Entrevistas de comprobación. Entrevistas de información. Entrevistas Informales.
Tipos de preguntas para en trevistas. Abiertas. Cerradas. Sondeo Cierre Mixtas
Instrumentos de recopilación de Información aplicables en la A.S.
Formas de realizar las entrevistas.Entrevistas tipo embudo. De lo general a lo concreto.Entrevistas tipo pirámide. De lo Cerrado a lo General.Entrevistas tipo diamante.Entrevistas tipo reloj de arena.
Formas de recopilar la información en las entrevistas.Entrevistas grabadas.Tomar notasCaptar lo esencial sin notas.Otras formas ( De segunda mano, ocultas, disfrazadas)
Instrumentos de recopilación de Información aplicables en la A.S.
Ventajas de los cuestionarios.Facilitan la recopilación de la información y no
necesitan muchas explicaciones ni una gran preparación para aplicarlos.
Permiten rápida tabulación e interpretación de los datos, con la confiabilidad requerida.
Evitan la dispersión de la información, al centrarse en preguntas de elección forzosa.
Rápidos de aplicar, recopilan mucha información en poco tiempo.
Fácil de capturar, concentrar y obtener información útil usando la computador.
Hacer impersonal la aportación de respuestas.
Instrumentos de recopilación de Información aplicables en la A.S.
Desventajas de los cuestionarios.Falta de profundidad de las respuestas.Se necesita buena elección del universo y las
muestras utilizadas.Puede provocar la obtención de datos equivocados si
se formulan mal las preguntas.La Interpretación y el análisis puede ser muy simple,
si no se recopilan todos los puntos requeridos.Limitan la participación del auditado, si éste puede
evadir preguntas importantes.Hace impersonal la participación del personal
auditado.Si no está bien hecho, denota falta de experiencia y
pocos conocimientos del auditor.
CEDULA DE ANALISIS DE SEGURIDAD LÓGICA
CEDULA DE ANALISIS DE SEGURIDAD FISICA
CEDULA DE ANALISIS DEL PERSONAL
CEDULA DE ENTREVISTA
GUIA DE LA ENTREVISTA Aspectos generales para todas las entrevistas
Persona evaluada Nombre de puesto Puesto del jefe inmediato Puesto a los que reporta Puestos de las personas que reportan al entrevistado Número de personas Descripción de actividades diarias del puesto Actividades Periódicas Actividades Eventuales ¿Con qué manuales cuenta para el desempeño de su puesto? ¿Cuáles políticas se tienen establecidas para el puesto? Señale alguna laguna en cuanto a su organización, puesto, o procesos
que realice: ¿Considera que tiene cargas en su trabajo? ¿Cómo las maneja o controla? ¿Con que frecuencia recibe capacitación y de que tipo? ¿Cómo considera el ambiente de trabajo?
Específicos para seguridad lógica ¿Hay controles establecidos para el seguimiento de los procedimientos que realiza? ¿Quién los define? ¿Están en funcionamiento? ¿Se actualizan? ¿Qué tipo de controles existen en su área? ¿Es necesario modificarlos para que funcionen mejor? ¿Hacen falta mas controles en su área? ¿Con qué frecuencia hay desviaciones? ¿Si existen desviaciones, se informan a los niveles? ¿Se toman las acciones correctivas si existen desviaciones? ¿Se revisan periódicamente los elementos del control interno? ¿La empresa cuenta con un manual general de sistemas y procedimientos? ¿Se actualizan periódicamente los manuales? ¿Existen sistemas y procedimientos formales y documentados para el control de su
área por aplicaciones? ¿Están actualizados? ¿Son adecuados y suficientes? ¿Se han elaborado sistemas y procedimientos en su área? ¿Se dispone de infraestructura para el desarrollo de sistemas y procedimientos en su
área? ¿Conoce los sistemas y procedimientos a realizar en su área? ¿Cómo se les da a conocer? ¿Existen sistemas y procedimientos o sistemas automatizados? ¿Cuáles son? ¿Se ajustan el registro y control de los sistemas y procedimientos a las necesidades
de la empresa?
Específicos para seguridad física ¿Existe algún procedimiento para autorización de ingreso de
personas externas (de otra área o empresas)? ¿Formas de autenticación que validan el ingreso? ¿Quiénes autorizan el ingreso al centro de cómputo? ¿Quiénes solicitan el ingreso? ¿Con cuanto tiempo de anticipación se solicita el ingreso de
externos (de área o empresas) al centro? ¿Se tiene algún formulario para la dicha solicitud? ¿Si no existe formulario de qué manera se hace la solicitud? ¿Qué datos se necesitan para la autorización del ingreso? ¿Existe una bitácora de registro de los visitantes? ¿Hay algún procedimiento de revisión de bitácoras? ¿De ser afirmativo quienes lo revisan? ¿Hay procedimiento que constata la salida del visitante? ¿Existe algún procedimiento para autorización de ingreso de
equipo al centro de cómputo? Describa el procedimiento brevemente? ¿Existe algún procedimiento para autorización de egreso de
equipo? ¿Describa el procedimiento brevemente?
De el personal ¿Existen políticas para contratación de familiares dentro
del centro de cómputo?¿Cuál es el nivel de escolaridad mínima requerida para
contratación?¿Cualidades requeridas del personal a contratar?¿Existe un procedimiento definido para el requerimiento
de personal?¿Si la respuesta es si descríbalo brevemente?¿Se realizan evaluaciones de desempeño?¿Con qué periodicidad?¿Quién las realiza?¿Criterios relevantes de la evaluación?
Aplicación
Aplicación
Aplicación
Aplicación
INTRODUCCIÓNLa descentralización de los equipos de
cómputo y la centralización de la información.
Auditoría a los procesos que involucran tecnología de información.
El Informe de Auditoría es el producto final y el exponente de calidad del trabajo de auditoría.
En el informe de auditoría solamente se deben anotar las observaciones objetivas e importantes.
PROCEDIMIENTO PARA ELABORAR PROCEDIMIENTO PARA ELABORAR EL INFORME DE AUDITORIA DE SISTEMASEL INFORME DE AUDITORIA DE SISTEMAS
Aplicar instrumentos de recopilación
Registrar las desviaciones halladas durante la revisión en el formato de situaciones encontradas
Comentar las situaciones encontradascon los auditados
Encontrar las causas de las desviacionesy sus posibles soluciones con los auditados
Analizar, depurar y corregir las desviaciones encontradas
Jerarquizar las desviaciones encontradasmás relevantes situaciones relevantes
Comentar situaciones relevantes con los directivosconfirmando las causas y soluciones
Concentrar, depurar y elaborar elinforme final y el dictamen del auditor
Presentación del informe y dictamen final a los directivos de la empresa
1
2
3
4
5
6
7
8
9
CARACTERÍSTICAS DEL INFORME DE AUDITORIA DE SISTEMAS
Características de fondo Características de forma
Características de la presentación del informeClaridadConfiabilidadPropiedadConcisiónSencillezAcertividadIlaciónTono y fuerzaSintaxis
OportunidadPrecisiónExactitudImparcialidadObjetividadCongruenciaFamiliaridadVeracidadEfectividad
Estructura del informe de auditoria de sistemas computacionales
Oficio de Presentación
Introducción
Dictamen de la Auditoria
Situaciones Relevantes
Situaciones Encontradas
Anexos
Confirmaciones en Papeles de Trabajo
TIPOS DE DICTAMEN Existen cuatro tipos de Dictamen en
auditoría:
A. DICTAMEN FAVORABLE.
B. DICTAMEN CON SALVEDADES.
C. DICTAMEN DESFAVORABLE.
D. DICTAMEN DENEGADA.
DICTAMEN FAVORABLE Una Dictamen favorable, limpia, positiva o
sin salvedades, expresa que el auditor ha quedado satisfecho, en todos los aspectos importantes, de que los estados financieros objeto de la auditoría reúnen los requisitos necesarios.
DICTAMEN CON SALVEDADESEste tipo de Dictamen es aplicable cuando el
auditor concluye que existen una o varias circunstancias en relación con las cuentas anuales tomadas en su conjunto, que pudieran ser significativas.
DICTAMEN CON SALVEDADESLas distintas circunstancias que pueden
originar una Dictamen con salvedades son:Limitaciones al alcanceIncertidumbresErrores o incumplimientos de los
principios y normas contables generalmente aceptados
DICTAMEN DESFAVORABLEUna Dictamen desfavorable supone
manifestarse en el sentido de que las cuentas anuales tomadas en su conjunto no presentan la imagen fiel del patrimonio, de la situación financiera, del resultado de las operaciones o de los cambios en la situación financiera de la entidad auditada, de conformidad con los principios y normas generalmente aceptados.
DICTAMEN DENEGADOTambien llamado Abstencion de DictamenCuando el auditor no ha obtenido la
evidencia necesaria para formarse una Dictamen sobre las cuentas anuales tomadas en su conjunto, debe manifestar en su informe que no le es posible expresar una Dictamen sobre las mismas.
La necesidad de denegar la Dictamen puede originarse exclusivamente por:
- Limitaciones al alcance de auditoría y/o- Incertidumbres.
APLICACION
APLICACIONDICTAMEN
SITUACIONES ENCONTRADAS
SITUACIONES RELEVANTES
CONCLUSIONES
El auditor informático ha de velar por la correcta utilización de los recursos de T.I.
Para la realización de una auditoría informática eficaz, se debe entender a la empresa en su más amplio sentido.
Para poder evaluar un sistema de cómputo hay que conocerlo desde el inicio hasta el final.
El párrafo de opinión debe de mostrar claramente el juicio final del auditor.
RECOMENDACIONES
Contar en todo momento, con el apoyo de la gerencia o el alto mando.
El párrafo introductorio debe contener un amplio resumen de la auditoría, y un enfoque a las personas responsables en la organización.
El informe de auditoría solamente debe contener hechos importantes.
Los hechos encontrados por el auditor implican la existencia de debilidades que deben ser corregidas.
