Unidad 2: Metodología para realizar auditoría de
Sistemas ComputacionalesIng. Elizabeth Guerrero
Llevar a cabo una auditoría de sistemas computacionales requiere una serie ordenada de:◦ acciones y procedimientos específicos, los cuales
deberán ser diseñados previamente de manera: secuencial, cronológica y ordenada,
◦ de acuerdo a: Las etapas, eventos y actividades que se requieran
para su ejecución
Introducción
La metodología es necesaria para que un equipo de profesionales alcance un resultado homogéneo tal como si lo hiciera uno sólo.
Por ello, resulta habitual el uso de metodologías en las empresas auditoras/consultoras profesionales (desarrolladas por los más expertos) para conseguir resultados similares (homogéneos) en equipos de trabajo diferentes (heterogéneos).
Introducción
Método: “modo prescrito para ejecutar una tarea o trabajo determinado, por el cual se pretende alcanzar un objetivo establecido.
Definiciones Básicas
Metodología: “estudio de los métodos que se siguen en una investigación, un conocimiento o una interpretación.
Planeación: es el proceso de decidir de antemano qué se hará y de qué manera se hará.
Definiciones Básicas
Plan: es un instrumento diseñado para alcanzar determinados objetivos, donde se definen espacio, tiempo y medios utilizables para su alcance
Politicas, Prog, Proced
Misiones globalesResultados
Objetivos Espec.
Medios(recursos)
Acciones Tiempo(futuro)
Programa: conjunto estructurado de diversas actividades al cual se le asignan recursos humanos, materiales y financieros, indicando la secuencia cronológica y los tiempos de duración de dichos pasos
Definiciones Básicas
Presupuesto: “estimación programada en forma sistemática de los ingresos y egresos que maneja un organismo en un período determinado; puede considerarse como un plan de acción en términos monetarios y cuyo ejercicio abarca generalmente un año de actividad”
Definiciones Básicas
1. Estudio Preliminar o Toma de contacto
2. Planeación
3. Ejecución de la Auditoría
4. Sintesis y Diagnóstico
5. Presentación de Conclusione
6. Redacción del informe final
Metodología para realizar auditoría de sistemas computacionales
Conocer la organización objeto de Auditoría◦ Cantidad de empleados, tipo de información que
maneja la organización, contexto donde la empresa está funcionando, …
◦ Información de la empresa y de su centro de datos (departamento de informática)
Fase 1. Toma de contacto
Fase 2. Planeación
1.
•Identificar el origen de la auditoría
2.
•Realizar visita preliminar al área que será evaluada
3.
•Establecer objetivos de la auditoría
4.
•Determinar los puntos que serán evaluados en la auditoría
5.
•Elaborar planes, programas y presupuestos para realizar la auditoría
6.
•Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría
7.
•Asignar recursos y sistemas computacionales para la auditoría
Por solicitud expresa de procedencia interna Por solicitud expresa de procedencia
externa Como consecuencia de emergencias y
condiciones especiales Por riesgos y contingencias informáticas Como resultados de los planes de
contingencia Por resultados obtenidos de otras auditorías Como parte del programa integral de
auditoría
2.1 Identificar el origen de la auditoría
Visita preliminar de arranque:◦ ¿Cómo se encuentran distribuidos los sistemas en
el área?◦ ¿Cuántos, cuáles, cómo y de qué tipo son los
equipos que están instalados en el centro de sistemas?
◦ ¿Cuáles son las principales características físicas de los sistemas que serán auditados?
◦ ¿Cómo reacciona el personal ante la visita del auditor?
◦ ¿Qué limitaciones se observan para realizar la auditoría?
2.2 Realizar visita preliminar al área que será evaluada
Establecer los objetivos de la auditoría:◦ Objetivo general◦ Objetivos particulares◦ Objetivos específicos
2.2 Realizar visita preliminar al área que será evaluada
Determinar los puntos que serán evaluados en la auditoría◦ Evaluación de las funciones y actividades del
personal en el área de sistemas◦ Evaluación de las áreas y unidades administrativas
del centro de computo◦ Evaluación de la seguridad de los SI◦ Evaluación de la información, documentación y
registros de los sistemas◦ Evaluación del hardware◦ Evaluación del software◦ Evaluación de la información y bases de datos
2.2 Realizar visita preliminar al área que será evaluada
Elaborar planes, programas y presupuestos que serán utilizados:◦ Elaborar el documento formal de los planes de
trabajo para la auditoría◦ Elaborar los programas de actividades para
realizar la auditoría◦ Elaborar los presupuestos para la auditoría
2.2 Realizar visita preliminar al área que será evaluada
Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría◦ Establecer la guía de ponderación de los puntos
que serán evaluados◦ Elaborar la guía de la auditoría◦ Elaborar los documentos necesarios para la
auditoría (encuestas, cuestionarios, entrevistas)◦ Determinar herramientas, métodos y
procedimientos para la auditoría
2.2 Realizar visita preliminar al área que será evaluada
Asignar recursos y sistemas computacionales para la auditoría◦ Recursos Humanos◦ Recursos informáticos y tecnológicos◦ Recursos materiales y de consumo◦ Otros recursos necesarios (viaticos, pasajes,…)
2.2 Realizar visita preliminar al área que será evaluada
Realizar las acciones programadas para la auditoría
Aplicar los instrumentos y herramientas para la
auditoría
Aplicar los recursos y actividades conforme a los
planes y programas
Recopilar la documentación y evidencias de la auditoría
Fase 3. Ejecución de la Auditoría
Identificar y elaborar los documentos de desviaciones
Integrar los papeles de trabajo de la auditoría
Integrar los documetos y pruebas en papeles de trabajo
Fase 4. Síntesis y diagnóstico
Evidencias◦ Puntos débiles del sistema◦ Puntos fuertes◦ Riesgos Eventuales◦ Posibles oportunidades◦ Posibles soluciones y mejoras
Elaborar los documentos y presentarlos a discusión
Elaborar el borrador de las desviaciones
Fase 5. Presentación de conclusiones
Carta de presentación del informe Resumen del informe Elaborar el dictamen final Presentación del informe de auditoría
Fase 6. Redacción del informe final
Confección y redacción del Informe Final Estructura del informe final:
◦El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo.
◦Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación del departamento, responsabilidad y puesto de trabajo que ostente.
◦Definición de objetivos y alcance de la auditoría.
Confección y redacción del Informe Final Cuerpo expositivo:
• Cuando se trate de una revisión periódica, en la que se analiza no solamente una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la situación real.
a. Situación actual.
• Se tratarán de hallar parámetros que permitan establecer tendencias futuras.b. Tendencias
• Se establecen los puntos débiles y amenazas encontradas durante la auditoríac. Puntos débiles y amenazas.
• Constituyen junto con la exposición de puntos débiles, el verdadero objetivo de la auditoría informática.
d. Recomendaciones y planes de acción.
• e. Redacción posterior de la Carta de Introducción o Presentación.Carta de Presentación
Modelo conceptual de la exposición del informe final El informe debe incluir solamente hechos importantes. El Informe debe consolidar los hechos que se describen en el
mismo. El término de "hechos consolidados" adquiere un especial
significado de verificación objetiva y de estar documentalmente probados y soportados. La consolidación de los hechos debe satisfacer, al menos los siguientes criterios:◦ El hecho debe poder ser sometido a cambios.◦ Las ventajas del cambio deben superar los inconvenientes
derivados de◦ mantener la situación.◦ No deben existir alternativas viables que superen al cambio
propuesto.◦ La recomendación del auditor sobre el hecho debe mantener o
mejorar las normas y estándares existentes en la instalación.◦ La aparición de un hecho en un informe de auditoría implica
necesariamente la existencia de una debilidad que ha de ser corregida.
Modelo conceptual de la exposición del informe final
Flujo del hecho o debilidad:
• - Ha de ser relevante para el auditor y pera el cliente.•- Ha de ser exacto, y además convincente.•- No deben existir hechos repetidos.1 – Hecho encontrado.
•- Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho.
2 – Consecuencias del hecho
•- Se redactará las influencias directas que el hecho pueda tener sobre otros aspectos informáticos u otros ámbitos de la empresa.3 – Repercusión del
hecho
•- No deben redactarse conclusiones más que en los casos en que la exposición haya sido muy extensa o compleja.
4 – Conclusión del hecho
• - Deberá entenderse por sí sola, por simple lectura.• - Deberá estar suficientemente soportada en el propio texto.• - Deberá ser concreta y exacta en el tiempo, para que pueda ser verificada su implementación.
• - La recomendación se redactará de forma que vaya dirigida expresamente a la persona o personas que puedan implementarl
5 – Recomendación del auditor informático
Carta de introducción o presentación del informe final La carta de introducción tiene especial importancia porque
en ella ha de resumirse la auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargo o contrato la auditoría.
La carta de introducción poseerá los siguientes atributos: · Tendrá como máximo 4 folios. · Incluirá fecha, naturaleza, objetivos y alcance. · Cuantificará la importancia de las áreas analizadas. · Proporcionará una conclusión general, concretando las
áreas de gran debilidad. · Presentará las debilidades en orden de importancia y
gravedad. · En la carta de Introducción no se escribirán nunca
recomendaciones.