metodología para realizar auditorías de sistemas computacionales
TRANSCRIPT
Carlos Guevara - UNEG
Auditoría y Evaluación de Sistemas
Ingeniería en Informática
Abril 2010
Metodología para realizar auditorías de
sistemas computacionales.
Objetivos 4 y 5
Carlos Guevara - UNEG
Metodología ….
CONTENIDO
Conceptos básicos
Metodología para realizar una auditoría de sistemas
Etapas de la Auditoría
Carlos Guevara - UNEG
Conceptos básicos
Método
Del griego methodos, de meta, y odos, vía, de cierta forma pasos que conducen a una
meta.
Manera determinada de procedimiento para ordenar la actividad a fin de lograr un
objetivo
Metodología
Del griego methodos, de meta, y logos, tratado, tratado de lo métodos.
Es el conjunto de métodos que rigen una investigación científica o en una exposición
doctrinal
Carlos Guevara - UNEG
Conceptos básicos
Planeación
Es el proceso de decidir de antemano que se hará y de que manera.
Misiones globales Resultados Objetivos Espec. Politicas, Prog, Proced
Plan
Es un método detallado formulado de antemano para hacer algo o
instrumento diseñado para alcanzar determinados objetivos.
Tiempo(futuro)
Acciones Medios(recursos)
Carlos Guevara - UNEG
Conceptos básicos
PROGRAMA
“Conjunto estructurado de diversas actividades con un cierto grado de homogeneidad
respecto del producto o resultado final, al cual se le asignan recursos humanos,
materiales y financieros con el fin de que produzca en un tiempo determinado bienes
o servicios destinados a la satisfacción total o parcial de los objetivos señalados a
una función dentro del marco de la planeación”
“Son cursos de acción detallados que señalan los pasos específicos que habrán de
realizarse para lograr los objetivos, indicando la secuencia cronológica y los tiempos
de duración de dichos pasos”
PRESUPUESTO
“estimación programada en forma sistemática de los ingresos y egresos que maneja
un organismo en un período determinado; puede considerarse como un plan de
acción en términos monetarios y cuyo ejercicio abarca generalmente un año de
actividad”
Carlos Guevara - UNEG
Conceptos básicos
ACTIVIDAD
Es el conjunto de operaciones ejecutadas o de actos desarrollados por una o varias
personas y que contribuyen al logro de una función
TAREA
Es la subdivisión del trabajo para realizar una actividad
POLITICA
• Criterio de acción que es elegido como guía en un proceso de toma de decisiones al
poner en práctica o ejecutar las estrategias, programas y proyectos especificos a
nivel institucional
• Son esencialmente un principio o varios relacionados entre sí con sus consiguientes
reglas de acción que condicionan y gobiernan al logro de un objetivo
Carlos Guevara - UNEG
Conceptos básicos
Plan de trabajo
Es la representación gráfica en la se muestran las actividades de un
proyecto
TiempoActividades Recursos Responsables
Carlos Guevara - UNEG
Metodología para realizar A.S.
Origen de la Auditoría
Establecer el Objetivo
Visita Preliminar
Determinar puntos a evaluar
Elaborar, Planes, presupuestos y programas
Identificar y seleccionar herramientas, métodos, técnicas y
procedimientos
Asignar los recursos de auditoría de sistemas
Aplicar auditoría
Identificar desviaciones y elaborar borrador de informe
Presentar desviaciones a discusión
Elaborar borrador final de desviaciones
Presentar el informe de auditoría
Carlos Guevara - UNEG
Metodología para realizar A.S.
Planeación
Ejecución
Dictamen
Etapas
Carlos Guevara - UNEG
Metodología para realizar A.S.
1.- Origen
2.- Visita Preliminar
3.- Objetivos
1era etapaPlaneación
4.- Puntos a evaluar
5.- Planes, programas y
presupuestos
6.- Métodos, herramientas,
instrumentos y procedimientos
7.- Recursos y sistemas
computacionales
Qué? Para que? Cómo? Cuando? Donde? Con que?
Carlos Guevara - UNEG
Planeación
Por solicitud interna
Por solicitud externa
Como consecuencia de emergencias y condiciones especiales
Por riesgos y contingencias informáticas
Por los planes de contingencia
Por resultados obtenidos de otras auditorías
Como parte de una auditoría integral
1.- Origen
De donde?
Por qué?
Quién?
Para qué?
Carlos Guevara - UNEG
Planeación
2.- Visita preliminar
Visitar preliminar de arranque
Contacto inicial
Identificación preliminar de problemática
Preveer objetivos iniciales
Calcular recursos y personal
3.- ObjetivosGeneral
Específicos
Carlos Guevara - UNEG
Planeación
4.- Puntos a evaluar
Funciones y actividades del personal
Unidades Ad. del Centro de Cómputo
Seguridad de los S.I.
Información, documentación y
registros
Sistemas, equipos, instalaciones,
componentes
Elegir tipo de auditoría a utilizar
Determinar recursos a utilizar
Carlos Guevara - UNEG
Planeación
5.- Elaborar planes, programas y presupuestos
5.1. Documento formal de los planes
de trabajo
5.2. Contenido de los planes para
realizar la auditoría
5.3. Documento formal de los programas
de auditoría
5.4. Programa de actividades
5.5. Presupuestos
Carlos Guevara - UNEG
Aspectos:
Actividades, responsables, recursos, tiempos
Eventos que servirán de guía
Estimación de recursos humanos, materiales e informáticos
Tiempo estimados
Auditores responsables y participantes
Demás especificaciones del programa de trabajo
Planeación
5.- Elaborar planes, programas y presupuestos
5.1. Documento formal de los planes de trabajo
Plan de Auditoría de Sistemas
Carlos Guevara - UNEG
Carátula de identificación del plan de auditoría
Índice
Objetivos
Estrategias para el desarrollo de la auditoría
Planes de auditoría
Normas, políticas y lineamientos para el desarrollo de la
auditoría
Planeación
5.- Elaborar planes, programas y presupuestos
5.1. Documento formal de los planes de trabajo
Partes del informe
Carlos Guevara - UNEG
Planeación
5.- Elaborar planes, programas y presupuestos
5.1. Documento formal de los planes de trabajo
Carátula de identificación del plan de auditoría
Tomado de Carlos Muñoz
Carlos Guevara - UNEG
Definir los objetivos finales de la auditoria.
Establecer las estrategias para realizar la auditoria.
Calcular la duración de las tareas y eventos para satisfacer los
objetivos de la auditoria
Distribuir los recursos que serán utilizados en las diferentes
etapas, actividades y tareas de la auditoria
Confeccionar los planes concretos para la auditoria
Planeación
5.- Elaborar planes, programas y presupuestos
5.2. Contenido de los planes para realizar la auditoría
Carlos Guevara - UNEG
Grafica del Programa de Actividades
Definición de las etapas y eventos que se deben llevar a cabo
Definición de las actividades y tareas
Planeación
5.- Elaborar planes, programas y presupuestos
5.3. Documento formal de los programas de auditoría
Carlos Guevara - UNEG
Planeación
5.- Elaborar planes, programas y presupuestos
5.3. Documento formal de los programas de auditoría
ACTIVIDAD SEMANAS
Nº Nombre Responsable 1 2 3 4 5 6 7 8
1 Elaborar plan de Auditoria J. Dpto. asignado
2 Probar Plan de Auditoria Director
3 Prepara instrumento de remisión Resp. Auditor
4 Iniciar preparativos Aud. Senior
5 Cobrar viáticos y pasajes Aud. Asignados
6 Iniciar viaje Aud. Asignados
7 Iniciar Auditoria Aud. Asignados
8 Auditar gestión informática Aud. Sr. 1
9 Auditar Bases de Datos Aud. Sr. 2
10 Auditar sistemas de computo Aud. Sr. 3
11 Auditar personal informático Aud. Sr. 4
12 Auditar la seguridad de los sistemas Aud. Sr. 5
13 Presentar borrador de Informe Resp. Auditor
Ejemplo
Carlos Guevara - UNEG
Definir de manera precisa las etapas de la auditoria
Identificar concretamente los eventos que se deben llevar a cabo en
cada etapa de la auditoria
Delimitar lo mas claramente posible las actividades, tareas y acciones
para cada evento
Distribuir los recursos que serán utilizados en las diferente etapas,
eventos, actividades y tareas
Calcular la duración de las etapas, actividades y tareas planeadas para
la auditoria
Determinar fechas de inicio y fin de las etapas, actividades y temas
Planeación
5.- Elaborar planes, programas y presupuestos
5.4. Programa de actividades
Carlos Guevara - UNEG
Planeación
5.- Elaborar planes, programas y presupuestos
5.4. Programa de actividades
ACTIVIDAD SEMANAS
Nº Nombre Responsable 1 2 3 4 5 6 7 8
1 Elaborar plan de Auditoria J. Dpto. asignado
2 Probar Plan de Auditoria Director
3 Prepara instrumento de remisión Resp. Auditor
4 Iniciar preparativos Aud. Senior
5 Cobrar viáticos y pasajes Aud. Asignados
6 Iniciar viaje Aud. Asignados
7 Iniciar Auditoria Aud. Asignados
8 Auditar gestión informática Aud. Sr. 1
9 Auditar Bases de Datos Aud. Sr. 2
10 Auditar sistemas de computo Aud. Sr. 3
11 Auditar personal informático Aud. Sr. 4
12 Auditar la seguridad de los sistemas Aud. Sr. 5
13 Presentar borrador de Informe Resp. Auditor
Ejemplo Plan de Auditoría
Carlos Guevara - UNEG
Asignación de los costos de los recursos
Control de los costos de los recursos
Planeación
5.- Elaborar planes, programas y presupuestos
5.5. Presupuestos
Carlos Guevara - UNEG
Planeación
6.- Métodos, herramientas, instrumentos y procedimientos
6.1. Elaborar guía de ponderación
6.2. Elaborar guía de la auditoría
6.3. Elaborar documento necesarios
para la auditoría
6.4. Determinar herramientas,
métodos y procedimientos
6.5. Diseñar los sistemas, programas
y métodos de prueba
Carlos Guevara - UNEG
Definir áreas y puntos de sistemas que serán auditados
Definir el peso de la ponderación por las áreas y puntos que serán evaluados
Realizar el documento de ponderación de la auditoria
Planeación
6.- Métodos, herramientas, instrumentos y procedimientos
6.1. Elaborar guía de ponderación
Factores Primarios que serán ponderados Peso Especifico
1. Objetivos del Centro de Información
2. Estructura de Organización
3. Funciones
4. Sistemas de Información
5. Personal y Usuarios
6. Documentación de los Sistemas
7. Actividades y operación del sistema
8. Configuración del Sistema
9. Instalaciones del Centro de Información
Peso total de la ponderación
10%
10%
15%
20%
15%
2%
14%
4%
10%
100%
Ejemplo
Carlos Guevara - UNEG
Determinar las áreas y puntos que serán evaluados en el ambiente de sistemas
Seleccionar métodos, procedimientos, herramientas e instrumentos de
evaluación
Elaborar el documento formal de la guía de auditoría
Planeación
6.- Métodos, herramientas, instrumentos y procedimientos
6.2. Elaborar guía de auditoría
Ejemplo GUIA DE AUDITORIA
Logo y nombre de la empresa que realiza la auditoría
Nombre de la empresa y área de sistemas auditada
Fecha Hoja
Día Mes Año ____ de ____
ReferenciaActividad que será evaluada
Procedimientos de auditoría
Herramientas que serán utilizadas
Observaciones
Carlos Guevara - UNEG
Instrumentos y herramientas de la recopilación de información para
la auditoria
Cuestionarios
Guías para realizar las entrevistas
Formularios para encuestas
Modelos y formatos para los inventarios del área de sistemas
Métodos e instrumentos de muestreo
Instrumentos especiales de evaluación de sistemas
Puntos que serán evaluados con pruebas
Pruebas para la evaluación
Los instrumentos y herramientas para pruebas de evaluación
Planeación
6.- Métodos, herramientas, instrumentos y procedimientos
6.3. Elaborar documento necesarios para la auditoría
Carlos Guevara - UNEG
Diseñar las herramientas e instrumentos que serán utilizados en la
evaluación
Establecer los métodos y procedimientos que serán utilizados en la
auditoria
Determinar las técnicas y procesos específicos que serán utilizados
en la auditoria
Elaborar los documentos formales para los procedimientos, métodos,
herramientas e instrumentos que serán utilizados en la auditoria
Planeación
6.- Métodos, herramientas, instrumentos y procedimientos
6.4. Determinar herramientas, métodos y
procedimientos
Carlos Guevara - UNEG
Determinar programas, bases de datos, archivos, sistemas y otros
que serán evaluados mediante programas y pruebas de cómputo
Diseñar las pruebas, programas y sistemas para realizar las
evaluaciones necesarias
Aplicar y obtener los resultados de las pruebas, programas y sistemas
para realizar las evaluaciones necesarias
Diseñar, aplicar y evaluar los resultados de los programas, métodos y
pruebas de simulación al sistema
Diseñar otros documentos de recopilación
Elaborar otros documentos de revisión
Planeación
6.- Métodos, herramientas, instrumentos y procedimientos
6.5. Diseñar los sistemas, programas y métodos de
prueba
Carlos Guevara - UNEG
Planeación
7.- Recursos y sistemas
computacionales
Recursos Humanos
Recursos informáticos y tecnológicos
Recursos materiales y de consumo
Otros recursos
Carlos Guevara - UNEG
Metodología para realizar A.S.
1.-Realizar las acciones programadas
2.- Aplicar los instrumentos y
herramientas
3.- Identificar y elaborar los documentos
de desviaciones encontradas
2da etapaEjecución
4.- Elaborar dictamen preliminar y
presentarlo a discusión
5.- Integrar papeles de trabajo
Carlos Guevara - UNEG
Ejecución
Realizar las acciones programadas para la auditoría
Aplicar los instrumentos y herramientas
Asignar recursos y actividades conforme a planes y programas
Recopilar documentación y
evidencias
Identificar y elaborar documentos de desviaciones
Elaborar documentos y presentarlos a
discusión
Integrar papeles de trabajo a
auditoria
Integrar pruebas a papeles de
trabajo
Elaborar borrador de desviaciones y dictamen preliminar
Carlos Guevara - UNEG
Metodología para realizar A.S.
1.- Elaborar un informe de
situaciones detectadas
2.- Elaborar el dictamen final
3.- Presentar el informe de audotoría
3era etapaDictamen
Carlos Guevara - UNEG
Dictamen
1.- Elaborar un informe de situaciones detectadas
1.1. Analizar los papeles de trabajo
1.2. Señalar las situaciones
encontradas
1.3. Comentar las situaciones
encontradas con las áreas auditadas
1.4. Realizar modificaciones
necesarias
1.5. Elaborar documento de
situaciones relevantes
Carlos Guevara - UNEG
Dictamen
2.- Elaborar el dictamen final
2.1. Analizar la información y elaborar
documento de desviaciones
detectadas
2.2. Elaborar el informe y el dictamen
formal
2.3. Comentar el informe y el dictamen
con los directivos del área auditada
2.4. Realizar modificaciones
necesarias
Carlos Guevara - UNEG
Dictamen
3.- Presentar el informe de auditoría
3.1. Elaboración del dictamen
3.2. Integración del informe de auditoría
3.3. Presentación del informe
3.4. Integración de los papeles de
trabajo
Carta de presentacionDictamenSituaciones relevantesAnexos y cuadros relevantes