metodo de auditoria y control - …cotana.informatica.edu.bo/downloads/metodo-audi.pdf · del plan...
TRANSCRIPT
METODO DE METODO DE
AUDITORIA Y AUDITORIA Y
OCTUBRE 2009
AUDITORIA Y AUDITORIA Y
CONTROLCONTROL
FACILITADOR: Miguel Cotaña Mier
Las diferentes organizaciones, cuenta con unidades deAuditoria Interna. Sólo se limitan a la auditoria ycontrolfinanciero.
1. INTRODUCCION
controlfinanciero.
La información, elemento fundamental, requiere de uncontrol a sus diferentes sistemas informáticos quegeneran dicha información, implementadas casidesordenadamente; velando por la correcta utilizaciónde sus amplios recursos tecnológicos, económicos yhumanos.
Cada día es mayor el número de situacionesirregulares. Algunos generan irregularidades enprovechopropio; situaciónque ligada a la perdidadeprovechopropio; situaciónque ligada a la perdidadevalores morales, éticos y religiosos, han originadoacciones fraudulentas.
Pero lo que es peor, no se controló ó supervisó lasdiferentes implementaciones de Sistemas deInformación.
Los SI, son cajas negras, que solo los que hanimplementado dichos sistemas saben las fortalezasy debilidades.y debilidades.
Por lo que de alguna manera el personal que diseñoesos sistemas llegaron a ser imprescindibles en laadministración de la informacion.
Lamentablemente, no existe en un buen procentaje,la documentaciónrespectiva,que respaldesi losla documentaciónrespectiva,que respaldesi losrequerimientos de los usuarios fueron satisfechos,que represente adecuadamente la realidad de cadaunidad o departamento y las metodologíasutilizadas en el desarrollo de los sistemas deinformación.
Se debe diseñar una alternativa de control interno en elambiente de Tecnologías de la Información yComunicacionesen la Organizacion, para contar con
PROPUESTA
Comunicacionesen la Organizacion, para contar conSistemas de Información que minimicen los riesgosrelacionadas a la actividad desarrollada por laorganizacion.
Los Sistemasde Informaciónexistentesy
OBJETIVO
Los Sistemasde Informaciónexistentesya ser desarrollados, pueden ser auditados ycontrolados, donde la confiabilidad delSistema de Información auditado,minimice errores en cada una de las etapasdel ciclo de vida.
2. MARCO REFERENCIAL
El marco referencial aplicable para proporcionar unametodología de Auditoria y Control aplicada a laactividad de una determinadaOrganizacion, estaráactividad de una determinadaOrganizacion, estarábasado en conceptos como la Auditoria Financiera,Auditoria Informática, ISO 17799, la metodologíaCobit y las Tecnologías de la Información yComunicaciones.
3. EL METODO
La función de auditoria de sistemas no solo se basaen la experiencia, habilidades, criterios yconocimientos sin una referencia metodológica.
Contar con un método de Auditoria y Control encualquier organización, garantiza que las cualidadesde cada auditor de sistemas sean orientadas a trabajaren equipo para la obtención de productos de calidadestandarizados.
CARACTERISTICAS DEL METODO
Esta enfocada a unidades o departamentos,laASI es aplicable a todo tipo de entes;
Es genérica,podra ser aplicable a cada una de lasunidades,conservandola independenciaconrespectounidades,conservandola independenciaconrespectoa las plataformas tecnológicas;
Esta adecuada a la realidad de nuestro país,labrecha cultural entre los países desarrollados y lospaíses subdesarrollados como el nuestro, de algunamanera incidirán en el alcance del método deauditoria y control.
OBJETIVOS DEL METODO
Objetivos para la alta gerencia, podrán contarcon información oportuna y fiable para una adecuadatoma de decisiones;
Objetivos para unidades de auditoria interna,Objetivos para unidades de auditoria interna,incentivar a que las unidades de auditoria interna, nosolo se dediquen al control interno financiero;
Objetivos para unidades a auditar, lainformación y la tecnología que la soporta, satisfagalos objetivos de la Organizacion.
DESARROLLO DEL METODO
La aplicación del método de auditoria y control,puede definirse como un proceso sistemático,por el cual el ASI, con un adecuado perfilobtiene y evalúa objetivamente evidenciasobtiene y evalúa objetivamente evidenciasrespecto a afirmaciones sobre un áreaespecifica con el fin de formarse una opiniónsobre ello y reportar sobre el grado en quedicha afirmación se ajusta a un conjunto deestándares.
DIAGNOSTICO PRELIMINAR
La función de Auditoria y Control de los diferentesSI se basa en un cuestionario de diagnosticopreliminar, luego debe estar contemplada en el POA.
CONCEPTO DESCRIPCION OBSERVACIONES
Plan estratégico de la organi-zación (solicitar organigrama )
Áreas de la actividad institucionalPolíticas, estándares referente a la función de sistemas de información
Manual de funciones, planes de contingencia, seguridad, informes
Se debe delegar autoridad a la función de auditoriade SI. Este documento o memorando debe seremitida por la alta gerencia describiendo la autoridadgeneral,el alcancey las responsabilidadesde la
La alta gerencia serán los responsables de desarrollare implementar planes a corto y largo plazo quesatisfagan los objetivos institucionales.
general,el alcancey las responsabilidadesde lafunción de auditoria.
Soluciones de consultoría- Asesoria y soporte en la definición, evaluación y selección de estrategias para la obtención de soluciones en la actividad institucional
( ) ( ) ( ) ( )
Soluciones de sistematización de procesos- Implementación de sistemas de información de acuerdo a requerimientos en la operatividad, eficiencia y bajo métodos
( ) ( ) ( ) ( )
Los sistemas de información en explotación, han solucionado 4=Excelente, 3=Buenalos siguientes aspectos y como los califica ? 2=Regular, 1=Deficiente
4 3 2 1
requerimientos en la operatividad, eficiencia y bajo métodos apropiados?
Soluciones de desarrollo tecnológico- Evaluación adecuada y selección de TI, globalización de la información, redes de ordenadores, automatización de procesos
( ) ( ) ( ) ( )
Servicios operativos- Instalación de equipos y redes - Capacitación al personal en el uso de la tecnología- Soporte a fallas de software- Soporte a fallas de hardware y comunicaciones
( ) ( ) ( ) ( )
ETAPAS DEL METODO
ETAPA DE PLANEACIONDE LA AUDITORIA
Diagnostico preliminar
ETAPA DEL PROCESODE LA AUDITORIA
ETAPA DE REPORTESDE LA AUDITORIA
ETAPA DE SEGUIMIENTODE LA AUDITORIA
3.1 ETAPA DE PLANEACION
Planeación de la Auditoria
Conocimiento sobre los fines y objetivos de laOrganizacionConocimiento de los Sistemas de Informaciónen la OrganizacionConocimiento preliminar de análisis de riesgos
Documento emitido por la alta gerencia
delegando autoridad. E
Conocimiento preliminar de análisis de riesgosy controles para mitigarlos
FASES DE TRABAJO DE ASI- Determinación de áreas- Elaboración de plan- Presentación de plan- Ejecución del plan
Conocimiento adecuado de la realidad con documentación
P
S
Fases de la Planeacion
DETERMINACIÓN DE LAS AREAS A AUDITAR
ELABORACIÓN DEL PLAN DE A.S.I.
PRESENTACIÓN DEL PLAN A AUTORIDADES
EJECUCIÓN DEL PLAN DE A.S.I.AUDITAR A.S.I. AUTORIDADES A.S.I.
Diagnostico actualDetección de riesgosDebilidadesAlcance
Definir estrategiaFechas y periodosCalificación preliminar del riesgo
Presentación oportunaAutorización y apoyo por parte de las autoridadesDebilidades
Trabajo en dominiosRiesgos inherentes y de controlPruebas sustantivas y de cumplimiento
TAREA ACTIVIDAD PRODUCTOS RESPONSABLE FECHA I/F ACTORES
Verifica datos 1.Revisar datos de la unidad
2.Documentar
Prioridades y matriz de riesgos aprobados
Supervisor / auditor de sistemas
Dd/mm/aa Alta gerencia / empleados jerarquicos / niveles operativos
Evaluación de unidades por auditar
1.Concertar citas
2.Realizar entrevistas
3.Realizar visitas
4.Aplicar cheklist
- Comprometer
- Doc. de respaldo
-
- Datos
ASI
ASI
ASI
ASI
COMUNIDAD/RH
COMUNIDAD/RH
RESPONSABLES
COMUNIDAD/RH
Plan detallado
5.analizar información
6.Informe preliminar
7.Ordenar informe preliminar
8.Revisar informe preliminar
- Obs.Conclus., rec
- Fortalezas, debilida,
- Documentos
- Datos
- Informe preliminar actualizado, aprobado
ASI
SUPERVISOR/ASI
ASI
ASI
COMUNIDAD/RH
COMUNIDAD/RH
COMUNIDAD/RH
COMUNIDAD/RH
Documentar el informe final
1.Elaborar informe de autoridades
2.Informe detallado
- Informe de alto nivel
- Informe detallado para usuarios
SUPERVISOR
ASI
COMUNIDAD/RH
Revisión del informe 1.Presentar informes
2.Aprobación informe
3.Compromiso autoridades
- Informes revisados
- Informes aprobados
- Ejecutar acciones sugeridas
ASI
ASI
ALTA GERENCIA
USUARIOS
SUPERVISOR
COBIT Evaluar controles en los
Comprensión de actividades
Revisión de Objetivos de Control
3.2 ETAPA DE PROCESOcompromiso de autoridades para ejecutar acciones E
COBIT•Planear y organizar (PO•Adquirir e implementar (AI)•Entregar y dar soporte (DS)•Monitorear y Evaluar (ME)
controles en los sistemas
Pruebas de cumplimiento
Sustentar el riesgo
Medición del riesgo
P
Entrevistas, visitas, cheklist documentados, relativos a fortaleza y/o debilidades o
falta de políticas, métodos de control
S
Comprension de actividades
Permitirá documentar actividades de las unidadescon referencia a los objetivos de control, comotambién internalizar conocimiento del estado de loscontrolesy medidasexistentes:controlesy medidasexistentes:
EntrevistasChecklistDocumentar los recursos de TIRevision documentacion disponible
CONCEPTO DESCRIPCION OBS.
- Plan estratégico de la carrera- Objetivos a corto plazo- Objetivos a largo plazo
- Organigrama de la carrera
- Si
- Proporcionar información, de cosas como ser: estudiantil, docente, planes de trabajo
- No existe organigrama
Áreas de la actividad académica - Kardex académico- Biblioteca
FACULTAD: Ciencias Puras UNIDAD ACADÉMICA: Carrera de Informática
CARGO RESPONSABLE UNIDAD ACADEMICA: Director académicoCARGO RESPONSABLE SISTEMA DE INFORMACION: Director académicoFECHA FORMULARIO: 001 PAGINA: 1
- Biblioteca
- Políticas de la carrera en lo académico
- Estándares referente a la función de sistemas de información- Documentos de recursos informaticos (manual del usuario, manual técnico, características de equipos, cantidad, localización y seguro)
- Elevar el nivel académico- Mantener la actualización del programa educativo
- No se utilizo estándares actuales - No existe documentación actualizada
- Manual de funciones de recursos humanos (perfil del personal de sistemas, numero)- Planes de contingencia- Planes de seguridad- Informes de auditorias anteriores
- No se tiene
- No se tiene- No se tiene- No se tiene
Evaluacion Checklist - Likert
La escala de Likert, es un tipo de instrumento demedición o de recolección de datos, es una escalaparamedir lasactitudes,queconsisteenun conjuntoparamedir lasactitudes,queconsisteenun conjuntode variables bajo la forma de afirmaciones o juiciosante los cuales se solicita la reacción (favorable,desfavorable, positiva o negativa) de las personasencuestadas, nivel de medida ordinal, son escalassumativas.
Toma en cuenta las siguientes alternativas:Alternativa A:
(5) Muy de acuerdo;(4) De Acuerdo;(3) Ni de acuerdo, ni en desacuerdo (afirmación);(2) En desacuerdo;(1) Muy en desacuerdo.
Alternativa B:(5) Totalmente de acuerdo;(4) De Acuerdo;(4) De Acuerdo;(3) Neutral (afirmación);(2) En desacuerdo;(1) Totalmente en desacuerdo.
Alternativa C:(5) Completamente verdadero;(4) Verdadero;(3) Ni falso, ni verdadero (afirmación);(2) Falso;(1) Muy en desacuerdo.
Para obtener las puntuaciones de la escala de Likert, sesuman los valores obtenidos respecto de cada frase. El puntajemínimo resulta de la multiplicación del numero de variables por 1.Una puntuación se considera alta o baja respecto del puntajetotal; este ultimo esta dado por el numero de variables oafirmaciones multiplicado por 5. Utilizamos las siguientesformulas:formulas:
n∑ Xi * Ni suma cada uno de los pesos multiplicado por el valor;i=1
--- nX = ∑ (Xi * Ni)/n obtiene promedio;
i=1
---(X / peso mas alto) * 100 obtiene porcentaje;
Medicion del riesgo - Normal
Distribución probabilística normal, una variablealeatoria continua es la que puede tomar un numeroinfinito de valores posiblesdentro de una gama oinfinito de valores posiblesdentro de una gama ovariedad especifica. Generalmente, es el proceso demedir algo. Existe una familia de distribucionesnormales, cada distribución tiene media (µ) odesviación estándar (s), con valores diferentes.
Para poder obtener la probabilidad de que ocurra undeterminado evento, aplicado a las variables y pesosrespectivos, se debe:
1) Calcularlasfrecuencias:
Medicion del riesgo - Normal
1) Calcularlasfrecuencias:
xi f i xi * f i xi2 * f i
∑ ∑ ∑ ∑
Media estimada: --- N
X = (∑ X i * f i)/ f ii=1
Varianza: N ---
s2 = (∑ X i2 * f i – n * X2)/ (n-1), n = tamaño muestra
Medicion del riesgo - Normal
i ii=1
Desviación estándar:
s =√ (∑ X i2 * f i – n * X2)/ (n-1)
Valor Normal estándar: ----
z = ( X – X ) / s
El valor z mide la distancia entre el valor especifico X y la media, en unidadesde la desviación estándar. Conociendo el valor z, se obtieneel área o laprobabilidad bajo la curva normal tipificada de 0 a z.
Evaluar controles
Evaluar los procesos por medio de los cuales sedesarrollan e implementan los SI.
Evaluar los procesospor medio de los cualesseEvaluar los procesospor medio de los cualesseadquieren e implementan los SI.
Evaluar los procesos por medio de los cuales serealiza el mantenimiento a los Sistemas deInformación para asegurar el soporte continuo de losobjetivos del negocio
Evaluar controles
En funcion de la importancia de los riesgosdetectados,seestablecelos objetivosde la auditoria.detectados,seestablecelos objetivosde la auditoria.Se considera que el riesgo es la presentacion negativade un objetivo de auditoria. Si la oracion negativa setransforma en oracion afirmativa, se tiene comoresultado un objetivo de control, para luego aplicarlas pruebas de cumplimiento o sustantivas
Controles en Bases de Datos
Establecer normas de definición y monitoreo;
Controles de acceso para los datos, atributos,entidades;
Establecer controles para asegurar que solo el personalautorizadopuedaactualizarla BD;autorizadopuedaactualizarla BD;
Establecer controles para asegurar la corrección,integridad y consistencia;
Usar puntos de verificación de la Base de Datos parareiniciar el procesamiento después de una falla;
Documentar los procedimientos de reestructuración;
Usar herramientas analizadores de Bases de Datos.
La administración efectiva de los datos almacenados,permite asegurar que los datos permanezcancompletos, precisos y validos.
Controles en Bases de Datos
Diseño;
Controles sobre documentos fuente;
Recuperación y almacenamiento de datos;
Autenticación e integridad de los datos;
Integración y consistencia en todas lasplataformas.
Pruebas de cumplimiento
Determina si los controles están siendo aplicados enuna forma que cumple con las políticas y losprocedimientos establecidos en la organización. LaidentificacióndepuntosclavedecontrolpermitiráalidentificacióndepuntosclavedecontrolpermitiráalASI desarrollar un entendimiento preliminar a travésde pruebas de cumplimiento de esos controles paraverificar si están funcionando como se esperaba. Losresultados de las pruebas de cumplimiento permitirádiseñar mas pruebas extensivas de cumplimiento o;
Pruebas de sustantivas
Si los resultados de los controles de comprobacióndetectan la presencia de controles internosadecuados,entoncesse tiene la justificación paraadecuados,entoncesse tiene la justificación paraminimizar los procedimientos sustantivos. Locontrario, si la prueba de control revelara que existenpuntos débiles en los controles que podrían generardudas sobre la integridad, exactitud o validez de lainformación, seria conveniente aplicar una pruebasustantiva para aliviar dudas.
OBJETIVOS DE CONTROL
PRUEBAS DE CUMPLIMIENTO
PRUEBA SUSTANTIVA
COMENTARIO
Comprobar normas para
Como no se tiene documentación.
Revisar si antes de pasar
Instar a autoridades
Objetivos de control
normas para pasar de desarrollo a explotacion
documentación. antes de pasar fueron evaluadas y autorizadas
autoridades hacer cumplir procedimientos de IS.
Revisar solicitudes de cambios a programas
Como no se tiene documentación.
Comprobar si tiene librerías para registrar los cambios
Las autoridadesdeben exigirdocumentación
OBJETIVOS DE CONTROL
PRUEBAS DE CUMPLIMIENTO
PRUEBA SUSTANTIVA
COMENTARIO
Revisar elesquema lógico
Como no se tiene documentación.
Revisar si entidades,
Instar a autoridades
Objetivos de control
esquema lógicoy físico de labase de datos
documentación. entidades, atributos, longitud sea el adecuado
autoridades controlar la optimizacion del disco.
Se debecontrolar laseguridad de labase de datos
Como no se tiene documentación.
Se debenprobar losniveles deseguridad paralos usuarios
Instar a lasautoridadescontar conplanes deseguridad
3.3 ETAPA DE REPORTES
Identificación de informeIdentificación del clienteIdentificación de unidad o depto.
Investigacion y evaluacion de
objetivos de control
P
E
Presentación formal en forma resumida e inteligible, para su aprobación final,
obteniendo un compromiso de los actores para ejecutar de las recomendaciones
realizadas en la auditoria.
Identificación de unidad o depto.Objetivos de la auditoriaNormativa aplicada y excepcionesAlcance de la auditoriaConclusiones y recomendacionesIdentificación y firma del auditorfecha reporte
P
S
3.4 ETAPA DE SEGUIMIENTO
Documento de aprobacion formal de
auditoria
Verificar documentos de respaldo
E
de respaldo
Unidades académicas CERTIFICADAS, que brindan información eficiente,
confiable, oportuna
Verificación in-situ
Aplicar sanciones
P
S
4 CONCLUSIONES
La insatisfacción de los clientes con los SI enexplotación, se produce frecuentemente. Losrequerimientos del usuario no son tomados en cuentao no sonentendidosadecuadamenteparaplasmarloso no sonentendidosadecuadamenteparaplasmarlosen el diseño.
Estos sistemas generalmente no son controlados oauditados, por ello se desarrollaron aplicaciones quesolo la persona que la diseñó sabe las verdaderaspotencialidades o vulnerabilidades de esa “cajanegra” considerada intocable.
………….. CONCLUSIONES
El método de auditoria y control, es aplicable lossistemas de información de cualquier organización,en base a los riesgos detectados. A partir de estaevaluación, se sugiere la adopción de procedimientosadecuadosparaminimizarposibleserrores.adecuadosparaminimizarposibleserrores.
Hoy en día es recomendable, implementar carrerasy/o menciones como: Auditoria de Sistemas deInformación y Auditoria Informática Forense