Auditoría parcial 3
Estructura oficio y presentación
1. Logotipo y nombre de la empresa 2. Fecha de informe 3. Funcionario que recibe el informe 4. Empresa o área auditada 5. Periodo de evaluación 6. Responsable de emitir el informe y firma autógrafa
Etapas de la metodología, Método de trabajo del auditor pasa por las siguientes etapas:
Alcance y objetivos de la auditoria informática • Estudio inicial del entorno Auditable • Determinación de los recursos necesarios para realizar la auditoria • Elaboración del plan y de los programas de trabajo • Actividades propiamente dichas de la auditoria
EXPERTO EN SOFTWARE DE COMUNICACIONES
Alta especialización dentro de la técnica de Sistemas. Conocimientos profundos de Redes. Experto en subsistemas de teleproceso
experto en desarrollo de procyetos actividad y conocimientos deseables
Amplia experiencia como responsables de proyectos. Experto analista conocedor de las metodologías de desarrollo mas importantes
Un criterio que sirve como ejemplo para esta presentación es el ciclo de vida de los sistemas:
Análisis del sistema actual • Diseño del nuevo sistema • Codificación del sistema • Pruebas y correcciones • Instalación y liberación del sistema • Mantenimiento
Ds
Análisis, diseño y desarrollo del sistema
Procedimientos para elaborar el informe. de auditoría, también llamado dictamen
Aplicar instrumentos de recopilación • 2. Registrar el formato de situaciones encontrada. • 3. Comentar las situaciones encontrada con los auditados. • 4. Encontrar, conjuntamente con los auditados, las causas de las desviaciones y sus posibles soluciones • 5. Analizar, depurar y corregir las desviaciones encontradas 6. Jerarquizar las desviaciones encontradas y concentrar las más importantes en el formato de situaciones relevantes • 7. Comentar las situaciones relevantes con los directivos del área de sistemas y confirmar las causas y soluciones • 8. Concentrar, depurar y elaborar el informe final de auditoría, así como el dictamen • del auditor • 9. Presentar informe y dictamen final a los directivos de la empresa.
f.6) Otros criterios de presentación
Aquí el auditor utiliza su propio criterio, de acuerdo con un ordenamiento elaborado, basándose en su experiencia, conocimientos, en las necesidades de la empresa auditada o en cualquier otro criterio de presentación diferente a los señalados anteriormente
BD
BAse de datos
Estructura diccionario de datos
Campo, tipo , tamaño, descripción
Características de la presentación del informe
Claridad • Exactitud • Confiabilidad • Imparcialidad • Propiedad • Objetividad • Concisión • Congruencia • Sencillez • Familiaridad • Acertividad • Veracidad • Efectividad • Tono y fuerza Positividad • Oportunidad , Sintaxis • Precisión
EXPERTO EN BASE DE DATOS ADMINISTRACIÓN DE LAS MISMAS
Con experiencia en mantenimiento de B.D Conocimiento de productos compatible y equivalentes. Buenos conocimientos de explotación
EXAMEN O CUESTIONARIO
Consiste en analizar y poner a prueba la calidad y el cumplimiento de las funciones, actividades y operaciones que se realizan cotidianamente en la empresa.
Planeación
Consiste en la elaboración de los programas de trabajo que se llevaran acabo durante la revisión a la entidad auditada.
Trabajos preliminares
Consiste una serie de entrevistas con el cliente, las cuales tienen como objetivo dejar en claro las características básicas del trabajo que se va a realizar, que es lo que quiere el cliente y que hará en términos generales el auditor
GUÍA DE AUDITORÍA
Contiene una descripción detallada de todos y cada uno de los puntos importantes que se deben auditar. • La forma de evaluarlos y la descripción de las técnicas, métodos y herramientas que deberá utilizar en dicha evaluación
g) Dictamen y recomendaciones del auditor
Corresponde a la opinión que el del auditor emite sobre los sistemas computacionales auditados. En este espacio asienta su opinión profesional, de manera objetiva, libre de cualquier influencia y con estricto apego a las pruebas y resultados observados durante la evaluación. • Esta parte es quizá la más importante de la auditoría y, en muchas ocasiones, lo que está esperando el receptor del informe, ya que es donde el responsable de la auditoría emite su juicio profesional a fin de dictaminar sobre el funcionamiento de los sistemas evaluados.
3ª etapa: Dictamen de la auditoría de sistemas computacionales
D.1 Analizar la información y elaborar un informe de situaciones detectadas • D.2 Elaborar el dictamen final • D.3 Presentar el informe de auditoría
f.1) Jerarquizando las situaciones por importancia. Esta organización se puede hacer de dos formas:
De mayor importancia a menor, De menor importancia a mayor
INVENTARIOS
De software • de hardware • de bases de datos e información de la empresa • de proyectos y desarrollos computacionales • de puestos de trabajo en el área de sistemas • de reportes de pruebas y resultados • de mobiliario y equipos • de instalaciones de voz, datos y energía • de instalaciones de redes • de manuales e instructivos • de respaldos, disquetes, cintas y sistemas de resguardo de información • de consumibles
Introducción informe completo
Describe en forma narrativa los aspectos relativos al aspirante la información introductoria que se presenta.
Objetivo informe completo
Describir la finalidad de la Auditoría a ser realizada.
Conclusiones y recomendaciones informe completo
Describir los resultados obtenidos en la auditoría, hallazgos encontrados, recomendaciones generales y oportunidades de mejora. • Las recomendaciones pueden hacer referencia a observaciones, al igual que a las no conformidades. • El auditor debe concluir con un dictamen el cual debe ir expresado y justificado en los términos anteriormente descritos: conforme, conforme con observaciones o no conforme.
Diagrama de sistemas puede ser
Diagrama de flujo Diccionario de datos Modelos
Is
Documentación de instalaciones en el área de sistemas
Cc
Documentación relacionada con el centro de cómputo
Ga
Documentación relacionada con la gestión administrativa del centro de cómputo
Cm
Documentación relacionada con los consumibles del área de sistemas
2ª etapa: Ejecución de la auditoría de sistemas computacionales
E.1 Realizar las acciones programadas para la auditoría • E.2 Aplicar los instrumentos y herramientas para la auditoría • E.3 Identificar y elaborar los documentos de desviaciones encontradas • E.4 Elaborar el dictamen preliminar y presentarlo a discusión • E.5 Integrar el legajo de papeles de trabajo de la auditoría
TECNICAS DE EVALUACION APLICABLES EN UNA AUDITORIA DE SISTEMAS COMPUTACIONALES, Estas técnicas, métodos, procedimientos o herramientas son:
EXAMEN O CUESTIONARIO • INSPECCIóN • CONFIRMACIóN • COMPARACION • REVISION DOCUMENTAL • ACTA TESTIMONIAL • MATRIZ FODA • MATRIZ DE EVALUACIÓN
TÉCNICO EN EVALUACIÓN DE COSTOS
Economista con conocimientos de informática. Gestión de costos
Análisis, clasificación y evaluación de la informática
El análisis y clasificación de la información se podrá realizarse por métodos estadísticos. Interpretar la información
Anexos informe completo
El auditor debe anexar los papeles de trabajo e información recabada para aquellos casos en que se deban presentar evidencias o pruebas.
RESPALDO DE BASE DE DATOS E INFORMACIÓN DE LA EMPRESA
El auditor debe evaluar los respaldos. • La Periodicidad con la que se llevan a cabo, el periodo de duración o actualización de la información respaldada. • La confiabilidad del respaldo. • La manera de evitar fugas de información
Criterios de Revisión: informe completo
El auditor debe pronunciarse sobre la conformidad o no del resultado de la auditoria, de acuerdo a lo establecido. • Conforme cumple con requisitos • No conforme No cumple con los requisitos
RESPALDOS DE PROGRAMAS (COPIAS DE RESPALDO DE PROGRAMACIÓN)
El auditor debe verificar que existan respaldos de los sistemas operativos, programas, paqueterías o sistemas realizados en la empresa, • Con el objeto de evaluar que dichos respaldos sean los adecuados en caso de ocurrir problemas en el sistema. • Debe verificar que los respaldos esté perfectamente custodiados y que no existan mas copias de las permitidas, para evitar la fuga de información de la empresa y posterior piratería de programas
OTROS ANEXOS DE RECOPILAR INFORMACION
El auditor puede obtener otro tipo de información que puede llegar a ser útil para realizar la evaluación
Respaldo de datos (BACKUPS) información y programas de aplicación de auditoría
El auditor sólo utiliza la información que producen los sistemas, si ésta le es útil para evaluar algún aspecto relacionado con la revisión que está realizando, y casi nunca toma en cuenta las operaciones y actividades internas que realiza el sistema para arrojar esa información
DICTAMEN PRELIMINAR
El dictamen preliminar es un borrador que contiene un resultado preparatorio de : • La evaluación del área de informática • Del sistema auditado • De la función específica de dicha área o de cualquier otro aspecto relacionado con los temas de la institución.
Estructura del resumen de desviaciones detectadas
Empresa , área auditada , fecha, situaciones , causas , solución, elaboró ( nombre y firma) , aprobó ( nombre y firma )
Portada de la hoja de identificación debe de contener
Empresa responsable de la auditoría. Identificación del legajo y la empresa. Periodo de evaluación. Responsable de la integración documentación. Fecha de presentación del dictamen
f.5) Simple listado sin ningún orden específico
En esta forma de presentación no se sigue ningún orden específico, sino que las situaciones que se reportan se presentan una tras otra, sin mediar ningún criterio, sin jerarquizar ni ordenar de manera alguna, sólo se presentan en un simple listado.
f) Contenido del informe de auditoría
En esta parte del dictamen se hace una breve descripción de los puntos que fueron evaluados, describiendo en forma clara, y lo más resumida posible, los aspectos que se consideran como observaciones y desviaciones sobre los asuntos auditados. El propósito fundamental de esta parte del dictamen es informar, de manera resumida, a los funcionarios de la empresa sobre las observaciones y los resultados obtenidos en la auditoría. Se pueden presentar: • las situaciones • observaciones • desviaciones encontradas, • así como sus causas y soluciones Pero se deben presentar en forma muy breve y resumida, pero sin omitir lo más importante
b) Nombre de la empresa (o área interna de auditoría)
En esta parte se anota el nombre de la empresa o del área responsable de hacer la auditoría,
d) Ejecutivo receptor del dictamen
En esta parte se anota el nombre y cargo del funcionario de alto nivel a quien se remite el dictamen. Se deben respetar los grados académicos, puesto y nombre del ejecutivo,
e) Breve introducción al dictamen
En esta parte se anotan las razones que dieron origen a la auditoría, • quién la ordenó • el área • sistema y actividades sujetas a evaluación • las fechas de inicio y terminación la auditoría
a)Logotipo de identificación
En esta parte se pone el logotipo de la empresa responsable de emitir el dictamen de la auditoría,
RESUMEN DE DESVIACIONES DETECTADAS
En este documento se reúnen las desviaciones que el auditor considera como las mas importantes encontradas durante la revisión, así como sus causas y posibles soluciones
c) Fecha de emisión del dictamen
En este punto se anota el lugar y la fecha de entrega del dictamen
Diagrama de flujo
En este tipo de diagramas se señalan los procedimientos por medio de símbolos adoptados para ejemplificar el flujo que siguen los datos.
De menor importancia a mayor
Es cuando se jerarquizan las situaciones reportadas en forma inversa, iniciando por las de menor importancia para concluir con las de mayor importancia.
De mayor importancia a menor
Es cuando se jerarquizan las situaciones reportadas, iniciando por las de mayor importancia para terminar con las de menor importancia, de acuerdo al criterio del auditor.
PROGRAMA DE TRABAJO DE AUDITORÍA
Es el documento formal de los planes, programas y presupuestos hechos para el control y desarrollo de la auditoría
INVENTARIO DE SOFTWARE
Es el inventario de los programas , lenguajes, paqueterías, sistemas operativos y cualquier otro software que se utilice en la institución para el procesamiento de la información y la operación de los sistemas.
Objetivo
Es la definición del fin último que se pretende satisfacer con la auditoría; esta definición se debe redactar en forma sencilla, concreta y contemplando .
Diagramas de sistemas
Es la representación gráfica del procedimiento que se sigue para realizar una serie de operaciones y actividades debidamente coordinadas entre sí.
Gráficas de cualquier tipo
Es la representación gráfica de la información que proporciona un valor significativo a los datos. El propósito de estas gráficas es representar los datos en forma visual.
Confirmaciones en papeles de trabajo
Es muy conveniente que el auditor tenga a la mano el legajo de papeles de trabajo, ya que podría necesitar hacer aclaraciones importantes de lo reportado; entonces puede recurrir a las pruebas documentadas en este legajo. De ahí la importancia de llevarlo.
Análisis estadístico de resultados datos y pruebas de comportamiento del sistema
Es necesario guardar los datos, muestras y fórmulas estadísticas indicadas. • Conservar los documentos relacionados con el análisis estadístico de los resultados, sirven como evidencia de las desviaciones encontradas y pueden servir de referencia para futuras evaluaciones
ACTA TESTIMONIAL:
Es un documento de carácter formal, que por su representatividad, importancia y posibles alcances de carácter legal y jurídico es uno de los documentos vitales. Se pueden evidenciar pruebas fehacientes, circunstanciales, probatorias para comprobar desviaciones en el área auditada y es utilizada para testimoniar los robos, desapariciones o cualquier aspecto relacionado con la desaparición de algún bien de la empresa.
Prólogo
Es una breve descripción en la que el auditor presenta su trabajo, para que el lector sepa lo que encontrará en el informe; el prólogo se debe hacer en forma narrativa, sencilla y simple, y no debe ser muy extenso.
CONFIRMACIÓN
Es uno de los aspectos fundamentales para la credibilidad de una auditoria es la confirmación de los hechos y la certificación de los datos obtenidos durante la revisión.
MATRIZ DE EVALUACIÓN
Es uno de los documentos de recopilación más versátiles y de mayor utilidad para el auditor de sistemas computacionales, debido a que a través de esta es posible recopilar una gran cantidad de información relacionada con las actividades realizadas en esta área de informática. Esta herramienta consiste en una matriz de seis columnas de las cuales la primera corresponde a la descripción, y las otras cinco a un criterio de evaluación descendente o ascendente (Exc., Bueno, Suf., Reg., Deficiente).
Metodología(trabajo)
Especificar los métodos o técnicas ocupadas para el desarrollo de la auditoria. Es una secuencia de pasos lógica y ordenada de proceder para llegar a su resultado.
Narrativa por capítulos
Esta parte de la introducción se refiere a la relatoría de lo que encontrará el lector del informe; dicha descripción tiene que ser concreta y sólo debe incluir lo más importante del contenido del informe.
Cuadros estadísticas y documentos concentradores de información Dichos documentos pueden ser :
Estadísticas. • Gráficas o cuadros en los cuales se concentran y se comparan datos tales como listados de resultados de un proceso. • Listados de seguimiento de las actividades. • Listado de operaciones y tareas que se realizan con un sistema computacional. • Concentrados de información estadística. • Las bitácoras de seguimiento y reportes • Cualquier dato que pueda ser incluido en las estadísticas.
El dictamen preliminar
Este documento es un bosquejo en el cual se indican las desviaciones encontradas y el llamado dictamen que hace el auditor de lo que encontró durante su revisión.
Justificación
Esto significa plantear en forma resumida y concreta los motivos por los cuales se realizó la evaluación de los sistemas computacionales. Con esto se busca que el auditor se anticipe y conteste estos interrogantes: • ¿Para qué? (se hizo la auditoría) • ¿Por qué? (se tuvo que llevar a cabo) • ¿Cuál fue la profundidad? (de la evaluación) • ¿Hasta dónde se profundizó? (en su cobertura) • ¿Por qué se auditó? (para analizar su alcance)
Testimoniales actas y documentos legales de comprobación y confirmación
Estos documentos pueden ser de los más importantes de una auditoría de sistemas, debido a que son el testimonio de empleados, usuarios, responsables o de las personas que por algún motivo declararon algo relacionado con los sistemas auditados o con alguna situación específica.
Testimoniales actas y documentos legales de comprobación y confirmación 2
Estos documentos son muy valiosos en cualquier tipo de auditoría, ya que sirven para corroborar desviaciones importantes, y en algunos casos pueden tener valor legal para posteriores diligencias y pueden servir como pruebas en algún litigio.
Modelos
Estos documentos son muy importantes en la evaluación de los sistemas computacionales, ya que ayudan al auditor a representar la realidad de lo que va a evaluar .
Se deben considerar para la construcción de los objetivos del informe de auditoría los siguientes aspectos:
Evaluar el cumplimiento y mejoramiento continuo • Comprobar que existan y se cumplan razonablemente las condiciones básicas de control sobre los criterios correspondientes a políticas, normas y Procedimientos
TÉCNICO DE SISTEMAS
Experto en sistemas operativos y software básico. Conocedor de productos equivalentes al mercado. Amplios conocimientos de explotación
TÉCNICO DE ORGANIZACIÓN
Experto organizador y coordinador. Especialista en el análisis de flujos de información
ESTRUCTURA DE INFORME COMPLETO
Exposición, sección preliminar, cuerpo, analisis situacional, anexos ,
Estructura inventario de software
Fecha , número de hoja , empresa , periodo , responsable, referencia, software , versión , no. De inventario, no. De licencias, presentación (cd. room), adjuntado a ( área de la empresa donde está ), localización( servidor o área )
Informe
Grado de criticidad en función a la valoración de las deficiencias encontradas y su nivel de severidad.
Metodología utilizada
Hacer la descripción de las herramientas, métodos, técnicas y procedimientos de auditoría de sistemas utilizados durante la evaluación. De llegar a plantearlo, se debe procurar que su presentación sea lo más resumida posible.
Hw
Hardware
CONTENIDO DEL LEGAJO DE PAPELES DE TRABAJO
Hoja de identificación • Índice de contenido de los papeles de trabajo • Dictamen preliminar • Resumen de desviaciones detectadas • Situaciones encontradas • Programa de trabajo de auditoría • Guía de auditoría • Inventario de software • Inventario de hardware • Manual de organización • Descripción de puestos Reportes de pruebas y resultados • Respaldos de datos y programas de aplicación de auditoría • Respaldos de las bases de datos y de los sistemas • Guías de claves para el señalamiento de los papeles de trabajo • Cuadros y estadísticas concentradores de información • Anexos de recopilación de información • Diagramas de flujo, de programación y de desarrollo de sistemas • Testimoniales, actas y documentos legales de comprobación y confirmación • Análisis y estadísticas de resultados, datos y pruebas de comportamiento del sistema
Resumen ejecutivo
Informe de tres (03) páginas, donde se expresa de manera resumida los resultados de la auditoría, indicando las observaciones más significativas del Informe
COMPARACIÓN
La comparación de información se pueden encontrar las similitudes y diferencias entre áreas o empresa, con lo cual se pueden hacer conjeturas y deducciones sobre las desviaciones encontradas.
INFORME FINAL
La función auditoria se materializa exclusivamente por escrito. El auditor avala personalmente su juicio de forma documental. • La elaboración del informe final es la única referencia constatable de toda auditoria y el exponente de su calidad Tiene como finalidad presentar de manera explícita los resultados de la auditoría. • Presentando en detalle la información recabada • Las observaciones • Hallazgos y evidencias relacionados a cada información que ha sido revisada
h) Responsable de emitir el dictamen
La última parte del dictamen de auditoría lleva el nombre, puesto y título del responsable de emitir el dictamen, además de su firma autógrafa.
Formato situaciones encontradas
Las desviaciones que reporta el auditor tienen características especiales, las cuales debe plasmar por escrito en un documento de carácter formal, al que llamaremos formato de situaciones encontradas
Métodos utilizados: informe completo
Las técnicas de evaluación aplicables en una auditoria de sistemas computacionales
Anexos
Material complementario
Implementación y seguimiento:
No corresponde al auditor realizarla, sino a la empresa. Si la empresa decide que participe el auditor servirá para que se interprete correctamente las recomendaciones
conclusión del hecho
No deben redactarse conclusiones más que en los casos en que la exposición halla sido muy extensa y compleja
SEGURIDAD DEL SOFTWARE
Objetivo • Alcance • Situación actual • Tendencias • Puntos débiles y amenazas • Recomendaciones y plan de acción
Análisis situacional
Observaciones , conclusión, recomendaciones, recapitulación de auditoría
El informe de auditoría debe contener, como mínimo, las siguientes secciones:
Oficio de presentación • Introducción • Dictamen de la auditoría • Situaciones relevantes • Situaciones detectadas • Anexos • Confirmaciones en papeles de trabajo
Situaciones relevantes
Parte fundamental del informe de auditoría son los formatos de situaciones relevantes; • Estos son los documentos oficiales donde el responsable de la auditoría reporta las desviaciones que, según su criterio, son las más importantes encontradas durante el desarrollo de la auditoría. Se integra en el informe de auditoría de sistemas computacionales el formato de situaciones encontradas que es donde se concentran todas las desviaciones encontradas durante la evaluación. • Además, este formato dio origen al de situaciones relevantes.
Periodo informe completo
Periodo realización de la auditoria
Metodología(trabajo) división
Planeación • Obtención de la información • Análisis, clasificación y evaluación de la informática. • Informe, elaboración de informe final
Las etapas que conforman el programa de trabajo de la auditoría de sistemas
Planeación. • Ejecución. • Dictamen.
Exposición
Presentación del asunto ( introducción) , Posición del problema
f.1) Jerarquizando las situaciones por importancia
Presentar las desviaciones, observaciones o situaciones de esta manera tiene por objeto dar una cierta jerarquía buscando con ello hacer la presentación de esas situaciones más entendible y con un mayor impacto, y buscando que el lector del informe capte la importancia de la información que reporta.
Cuadros estadísticas y documentos concentradores de información
Presentar todos los documentos del legajo de papeles de trabajo que servirán de soporte para presentar la información recopilada durante la auditoría • Para comprobar las desviaciones plasmadas en las situaciones detectadas y en las situaciones importantes. • Estos documentos son complemento de alguna revisión y sirven para identificar y comprobar desviaciones y situaciones.
Sección preliminar
Propósitos ( objetivos), periodo, alcances , criterios de revisión, métodos utilizados, copia de cuestionarios usados, relación de personas entrevistadas
Introducción Aspectos generales
Prólogo • Objetivo • Justificación • Metodologia utilizar • Narrativa por capitulos
Estructura guía de auditoría
Referencia ( código de referencia), actividad o función a evaluar, técnica de evaluación, ponderación, calificación, observaciones
Otros documentos especializados de una auditoría de sistemas, En el legajo de papeles de trabajo también se debe anexar la información (en papel o electrónicamente):
Relacionada con los reportes • Análisis y resultados de pruebas • Configuraciones y exámenes especializados del sistema computacional Documento de las instalaciones o de cualquier otro aspecto relacionado con el área de sistemas. • Anexar lo relacionado con el procesamiento de información o con cualquier otra actividad informática.
EXPERTO EN EXPLOTACIÓN Y GESTION DE CENTRO DE PROCESO DE DATOS
Responsables de algún centro de computo. Amplia experiencia en automatización de trabajos. Experto en relaciones humanas. Buenos Conocimientos de los sistemas
EXPERTO EN EXPLOTACIÓN Y GESTIÓN DE CENTRO DE PROCESO DE DATOS
Responsables de algún centro de computo. Amplia experiencia en automatización de trabajos. Experto en relaciones humanas. Buenos Conocimientos de los sistemas.
Cuerpo
Resultados / deficiencias de las áreas
Cuáles son OTROS ANEXOS DE RECOPILAR INFORMACION
Resultados del procesamiento de datos • Descripción de puestos, funciones y actividades • Resultados y pruebas de cálculos de procesamientos que se efectúan en el sistema • Copias de formatos y licencias de programas y paqueterías Copias de resguardos de equipos y mobiliario • Mapas de distribución de redes, instalaciones, equipos, muebles y sistemas de información • Mapas de rutas de evacuación y seguridad del área de sistemas Bitácoras de reportes y servicios de mantenimiento preventivo y correctivo • Resultados de inventarios y pruebas de la arquitectura de los sistemas • Resultados de diseños, análisis, codificación, pruebas y liberación de sistemas codificación de los sistemas desarrollados en la empresa. • Resultados de cotizaciones y estudios de mercado para adquisiciones de hardware, software, mobiliario y consumibles de sistemas • Diagramas de sistemas, de programación y desarrollo de sistemas
RESULTADOS / DEFICIENCIAS DE LAS ÁREAS (CUERPO)
SEGURIDAD DEL SOFTWARE, SEGURIDAD DE HARDWARE, SEGURIDAD EN ÁREA DE OPERACIONES, SEGURIDAD FÍSICA, SEGURIDAD LÓGICA,
MATRIZ FODA:
Se analiza sus Debilidades, Oportunidades, Fortalezas y amenazas de la empresa • En una auditoria de sistemas computacionales, se pueden estudiar las influencias que afectan el comportamiento del área de sistemas computacionales de una empresa, tanto las quien recibe de su ambiente interior como exterior, ya sean de la propia empresa o de sus proveedores, desarrolladores o del entrono donde este establecida.
•Investigación previa
Se conoce la empresa y se valida la problemática que fue expuesta por el cliente.
INSPECCIÓN
Se examina la forma en que se desarrollan las actividades de un área de sistemas computacionales, a fin de evaluar y emitir un informe sobre el desarrollo normal de sus funciones y operaciones.
Informe, elaboración de informe final
Se informa de manera clara los resultados de la Auditoria Informática Se presenta las recomendaciones para la mejora. Se entrega por escrito y se presenta apoyado en una exposición verbal.
Obtención de la información
Se obtiene toda información pertinente sobre el caso estudiado, utilizando herramientas como: Entrevistas, Encuestas, Observaciones, Dependiendo del tipo de información, que necesite
Elaboración del programa de la auditoria informática.
Se planea las actividades que han de realizarse, fechas de inicio y termino, así como los tiempos
SITUACIONES ENCONTRADAS
Se presentan todas las situaciones detectadas durante la auditoría • Separan situaciones encontradas • Las causas que las originan y las posibles soluciones • Se anota al responsable de solucionarlas y la fecha de solución para cada causa o situación reportada
Alcance: informe completo
Se refiere a las delimitaciones particulares de las áreas a examinar o reevaluar en el proceso de auditoría.
En el programa de trabajo de auditoría que se registra
Se registran las etapas y actividades a realizar, los tiempos para llevarla a cabo y los recursos disponibles.
Sg
Seguridad informática
Análisis estadístico de resultados datos y pruebas de comportamiento del sistema 2
Sirven como modelo para retomar los procedimientos seguidos y obtener resultados similares. • Conservar por escrito estos análisis debe ser una prioridad para el responsable de la auditoría, ya que de esta manera se podrá interpretar el resultado de su evaluación, y en caso de que el auditor que hizo esos análisis no esté presente, éstos se pueden estudiar y llegar a las mismas conclusiones.
Sw
Software
GUÍA DE MARCAS Y SEÑALES.
Son las marcas de carácter informal que utiliza el auditor o el grupo de auditores que realizan la auditoría, con el fin de facilitar la uniformidad de los papeles de trabajo e identificarlos mejor.
Índice del contenido de los papeles de trabajo
Sugerimos numerar con siglas cada capítulo o parte importante de la auditoría
f.4) Procedimientos de operación o actividad
También se puede hacer una presentación de las situaciones reportadas siguiendo el mismo orden en el que se desarrollan las actividades, funciones u operaciones normales del centro de cómputo auditado
La planeación se divide en
Trabajos preliminares • Investigación previa • Elaboración de programa
Ejemplos de confirmación
Veracidad de los gastos de nomina del personal de la empresa , comparando los resultados de una quincena con los cálculos manuales de esa misma quincena, validar las desviaciones encontradas en los procesamientos • Revisar las licencias de software instalados en los sistemas computacionales • Confirmar la confiabilidad de las protecciones , contraseñas y demás medidas de seguridad establecidas para el acceso a la información y a los sistemas de la empresa.
Presentación del dictamen
a) Logotipo de identificación: b) Nombre de la empresa (o área interna de auditoría) c) Fecha de emisión del dictamen d) Ejecutivo receptor del dictamen e) Breve introducción al dictamen f) Contenido del informe de auditoría f.1) Jerarquizando las situaciones por importancia De mayor importancia a menor De menor importancia a mayor f.2) Cronología de ocurrencia de las situaciones reportadas f.3) Áreas de trabajo o áreas administrativas f.4) Procedimientos de operación o actividad f.5) Simple listado sin ningún orden específico f.6) Otros criterios de presentación g) Dictamen y recomendaciones del auditor h) Responsable de emitir el dictamen
REVISION DOCUMENTAL
avala los registros de operaciones y actividades de una empresa. Esta técnica se aplica verificando el registro correcto de datos en documentos formales de la empresa En los sistemas computacionales es utilizada para evaluar el desarrollo de las operaciones y funcionamiento del sistema, revisar el uso y registro adecuado de los documentos ,verificar la existencia y actualización de registros formales para la administración y control de operación del sistema.
informático general actividad y conocimientos deseables
con experiencia amplia en ramas distintas. Deseables que su labor se haya desarrollado de proyectos conocedores de sistemas.
1ª etapa: Planeación de la auditoría de sistemas computacionales
dentificar el origen de la auditoría • P.2 Realizar una visita preliminar al área que será evaluada • P.3 Establecer los objetivo de la auditoría • P.4 Determinar los puntos que serán evaluados en la auditoría • P.5 Elaborar planes, programas y presupuestos para realizar la auditoría • P.6 Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría • P.7 Asignar los recursos y sistemas computacionales para la auditoría
hecho encontrado
ha de ser relevante para el auditor y para el cliente. Ha de ser exacto, y además convincente. No deben existir hechos repetidos. Deben procurarse evitar incluso las referencias y alusiones a otros hechos En lo posible contar con las evidencias necesarias.
Ejemplo de Gráficas de cualquier tipo
ingresos contra consumos, • a fin de señalar la llamada oferta y demanda
Existen diversas formas de obtener un resultado determinado, y de esto se deriva
la existencia de varias metodologías para llevar a cabo una auditoria informática.
En el ambiente de sistemas, este diagrama de sistemas es
la representación gráfica de un procedimiento de sistematización representado por líneas de flujo y símbolos que representan algún tipo de actividad, el cual está, de documento o de una decisión.
consecuencias del hecho
las consecuencias deben redactarse de modo que sean directamente deducibles del hecho
Formato de situaciones encontradas, el cual contiene las siguientes columnas:
las situaciones • las causas • las soluciones • los responsables de la solución • y las fechas de solución.
ANEXOS
los cuales son documentos en forma de gráficas, cuadros, declaraciones o cualquier otro formato que servirá de soporte para las desviaciones reportadas en el informe final. • No es obligatorio incluirlos, pero sí es conveniente, debido a que se podría necesitar de estas aclaraciones significativas, pues a veces el lector del informe no capta lo que se informa y, para su buen entendimiento, requiere de apoyos ilustrativos, gráficos y cuadros, donde se enfatizan o aclaran las desviaciones reportadas.
Observaciones informe completo
para cada criterio/atributo/dimensión en el cual se haya detectado un hallazgo, el auditor debe plasmar la información recabada con su respectivo análisis, reflejando "qué" se está revisando, "cómo" se comporta el elemento revisado y expresar las "causas o factores" que inciden en él. • Sobre cada observación el auditor debe declarar su conformidad, conformidad con observaciones o no conformidad de acuerdo al caso. • Respecto a los hallazgos que indiquen no conformidades, el auditor debe dirigirlas con responsabilidad, reportarlas de acuerdo a los procedimientos y áreas examinadas, orientarlas con un enfoque positivo y explicar a los aspirantes • Como una oportunidad para mejorar el sistema por medio de acciones correctivas.
repercusión del hecho
se redactará, si existe, las influencias directas que el hecho pueda tener sobre otros aspectos informáticos u otros ámbitos de la empresa auditada.
recomendación del auditor de sistemas
siempre se explicitará la palabra recomendación, y ninguna otra. Deberá entenderse por si sola, por su simple lectura. Deberá estar suficientemente soportada en el propio texto Deberá ser concreta y exacta en el tiempo, para que pueda ser seguida y verificada su implementación. La recomendación se redactará de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla. Deberán evitarse las recomendaciones demasiado generales.
HOJA DE IDENTIFICACIÓN
Ésta es la parte frontal del legajo de papeles de trabajo de la auditoría de sistemas computacionales, • Primer documento formal que se identifica en dicho legajo • Esta hoja, que puede ser una carátula • Se anotan los datos elementales que sirven para identificar la documentación contenida en el legajo.
Diccionario de datos
Éste es otro de los documentos importantes para el auditor, ya que le ayuda a identificar el contenido y composición de las bases de datos, su forma, el tamaño de los archivos, el número de dígitos por cada registro que ingresa a la computadora y demás características que componen una base de datos.
ESTRUCTURA DE INFORME COMPLETO
• Exposición • Sección preliminar • Cuerpo - Deficiencias de las area funcionales - Apreciación de la organización • Analisis situacional • Anexos