Auditoría parcial 3

Ace your homework & exams now with Quizwiz!

Estructura oficio y presentación

1. Logotipo y nombre de la empresa 2. Fecha de informe 3. Funcionario que recibe el informe 4. Empresa o área auditada 5. Periodo de evaluación 6. Responsable de emitir el informe y firma autógrafa

Etapas de la metodología, Método de trabajo del auditor pasa por las siguientes etapas:

Alcance y objetivos de la auditoria informática • Estudio inicial del entorno Auditable • Determinación de los recursos necesarios para realizar la auditoria • Elaboración del plan y de los programas de trabajo • Actividades propiamente dichas de la auditoria

EXPERTO EN SOFTWARE DE COMUNICACIONES

Alta especialización dentro de la técnica de Sistemas. Conocimientos profundos de Redes. Experto en subsistemas de teleproceso

experto en desarrollo de procyetos actividad y conocimientos deseables

Amplia experiencia como responsables de proyectos. Experto analista conocedor de las metodologías de desarrollo mas importantes

Un criterio que sirve como ejemplo para esta presentación es el ciclo de vida de los sistemas:

Análisis del sistema actual • Diseño del nuevo sistema • Codificación del sistema • Pruebas y correcciones • Instalación y liberación del sistema • Mantenimiento

Ds

Análisis, diseño y desarrollo del sistema

Procedimientos para elaborar el informe. de auditoría, también llamado dictamen

Aplicar instrumentos de recopilación • 2. Registrar el formato de situaciones encontrada. • 3. Comentar las situaciones encontrada con los auditados. • 4. Encontrar, conjuntamente con los auditados, las causas de las desviaciones y sus posibles soluciones • 5. Analizar, depurar y corregir las desviaciones encontradas 6. Jerarquizar las desviaciones encontradas y concentrar las más importantes en el formato de situaciones relevantes • 7. Comentar las situaciones relevantes con los directivos del área de sistemas y confirmar las causas y soluciones • 8. Concentrar, depurar y elaborar el informe final de auditoría, así como el dictamen • del auditor • 9. Presentar informe y dictamen final a los directivos de la empresa.

f.6) Otros criterios de presentación

Aquí el auditor utiliza su propio criterio, de acuerdo con un ordenamiento elaborado, basándose en su experiencia, conocimientos, en las necesidades de la empresa auditada o en cualquier otro criterio de presentación diferente a los señalados anteriormente

BD

BAse de datos

Estructura diccionario de datos

Campo, tipo , tamaño, descripción

Características de la presentación del informe

Claridad • Exactitud • Confiabilidad • Imparcialidad • Propiedad • Objetividad • Concisión • Congruencia • Sencillez • Familiaridad • Acertividad • Veracidad • Efectividad • Tono y fuerza Positividad • Oportunidad , Sintaxis • Precisión

EXPERTO EN BASE DE DATOS ADMINISTRACIÓN DE LAS MISMAS

Con experiencia en mantenimiento de B.D Conocimiento de productos compatible y equivalentes. Buenos conocimientos de explotación

EXAMEN O CUESTIONARIO

Consiste en analizar y poner a prueba la calidad y el cumplimiento de las funciones, actividades y operaciones que se realizan cotidianamente en la empresa.

Planeación

Consiste en la elaboración de los programas de trabajo que se llevaran acabo durante la revisión a la entidad auditada.

Trabajos preliminares

Consiste una serie de entrevistas con el cliente, las cuales tienen como objetivo dejar en claro las características básicas del trabajo que se va a realizar, que es lo que quiere el cliente y que hará en términos generales el auditor

GUÍA DE AUDITORÍA

Contiene una descripción detallada de todos y cada uno de los puntos importantes que se deben auditar. • La forma de evaluarlos y la descripción de las técnicas, métodos y herramientas que deberá utilizar en dicha evaluación

g) Dictamen y recomendaciones del auditor

Corresponde a la opinión que el del auditor emite sobre los sistemas computacionales auditados. En este espacio asienta su opinión profesional, de manera objetiva, libre de cualquier influencia y con estricto apego a las pruebas y resultados observados durante la evaluación. • Esta parte es quizá la más importante de la auditoría y, en muchas ocasiones, lo que está esperando el receptor del informe, ya que es donde el responsable de la auditoría emite su juicio profesional a fin de dictaminar sobre el funcionamiento de los sistemas evaluados.

3ª etapa: Dictamen de la auditoría de sistemas computacionales

D.1 Analizar la información y elaborar un informe de situaciones detectadas • D.2 Elaborar el dictamen final • D.3 Presentar el informe de auditoría

f.1) Jerarquizando las situaciones por importancia. Esta organización se puede hacer de dos formas:

De mayor importancia a menor, De menor importancia a mayor

INVENTARIOS

De software • de hardware • de bases de datos e información de la empresa • de proyectos y desarrollos computacionales • de puestos de trabajo en el área de sistemas • de reportes de pruebas y resultados • de mobiliario y equipos • de instalaciones de voz, datos y energía • de instalaciones de redes • de manuales e instructivos • de respaldos, disquetes, cintas y sistemas de resguardo de información • de consumibles

Introducción informe completo

Describe en forma narrativa los aspectos relativos al aspirante la información introductoria que se presenta.

Objetivo informe completo

Describir la finalidad de la Auditoría a ser realizada.

Conclusiones y recomendaciones informe completo

Describir los resultados obtenidos en la auditoría, hallazgos encontrados, recomendaciones generales y oportunidades de mejora. • Las recomendaciones pueden hacer referencia a observaciones, al igual que a las no conformidades. • El auditor debe concluir con un dictamen el cual debe ir expresado y justificado en los términos anteriormente descritos: conforme, conforme con observaciones o no conforme.

Diagrama de sistemas puede ser

Diagrama de flujo Diccionario de datos Modelos

Is

Documentación de instalaciones en el área de sistemas

Cc

Documentación relacionada con el centro de cómputo

Ga

Documentación relacionada con la gestión administrativa del centro de cómputo

Cm

Documentación relacionada con los consumibles del área de sistemas

2ª etapa: Ejecución de la auditoría de sistemas computacionales

E.1 Realizar las acciones programadas para la auditoría • E.2 Aplicar los instrumentos y herramientas para la auditoría • E.3 Identificar y elaborar los documentos de desviaciones encontradas • E.4 Elaborar el dictamen preliminar y presentarlo a discusión • E.5 Integrar el legajo de papeles de trabajo de la auditoría

TECNICAS DE EVALUACION APLICABLES EN UNA AUDITORIA DE SISTEMAS COMPUTACIONALES, Estas técnicas, métodos, procedimientos o herramientas son:

EXAMEN O CUESTIONARIO • INSPECCIóN • CONFIRMACIóN • COMPARACION • REVISION DOCUMENTAL • ACTA TESTIMONIAL • MATRIZ FODA • MATRIZ DE EVALUACIÓN

TÉCNICO EN EVALUACIÓN DE COSTOS

Economista con conocimientos de informática. Gestión de costos

Análisis, clasificación y evaluación de la informática

El análisis y clasificación de la información se podrá realizarse por métodos estadísticos. Interpretar la información

Anexos informe completo

El auditor debe anexar los papeles de trabajo e información recabada para aquellos casos en que se deban presentar evidencias o pruebas.

RESPALDO DE BASE DE DATOS E INFORMACIÓN DE LA EMPRESA

El auditor debe evaluar los respaldos. • La Periodicidad con la que se llevan a cabo, el periodo de duración o actualización de la información respaldada. • La confiabilidad del respaldo. • La manera de evitar fugas de información

Criterios de Revisión: informe completo

El auditor debe pronunciarse sobre la conformidad o no del resultado de la auditoria, de acuerdo a lo establecido. • Conforme cumple con requisitos • No conforme No cumple con los requisitos

RESPALDOS DE PROGRAMAS (COPIAS DE RESPALDO DE PROGRAMACIÓN)

El auditor debe verificar que existan respaldos de los sistemas operativos, programas, paqueterías o sistemas realizados en la empresa, • Con el objeto de evaluar que dichos respaldos sean los adecuados en caso de ocurrir problemas en el sistema. • Debe verificar que los respaldos esté perfectamente custodiados y que no existan mas copias de las permitidas, para evitar la fuga de información de la empresa y posterior piratería de programas

OTROS ANEXOS DE RECOPILAR INFORMACION

El auditor puede obtener otro tipo de información que puede llegar a ser útil para realizar la evaluación

Respaldo de datos (BACKUPS) información y programas de aplicación de auditoría

El auditor sólo utiliza la información que producen los sistemas, si ésta le es útil para evaluar algún aspecto relacionado con la revisión que está realizando, y casi nunca toma en cuenta las operaciones y actividades internas que realiza el sistema para arrojar esa información

DICTAMEN PRELIMINAR

El dictamen preliminar es un borrador que contiene un resultado preparatorio de : • La evaluación del área de informática • Del sistema auditado • De la función específica de dicha área o de cualquier otro aspecto relacionado con los temas de la institución.

Estructura del resumen de desviaciones detectadas

Empresa , área auditada , fecha, situaciones , causas , solución, elaboró ( nombre y firma) , aprobó ( nombre y firma )

Portada de la hoja de identificación debe de contener

Empresa responsable de la auditoría. Identificación del legajo y la empresa. Periodo de evaluación. Responsable de la integración documentación. Fecha de presentación del dictamen

f.5) Simple listado sin ningún orden específico

En esta forma de presentación no se sigue ningún orden específico, sino que las situaciones que se reportan se presentan una tras otra, sin mediar ningún criterio, sin jerarquizar ni ordenar de manera alguna, sólo se presentan en un simple listado.

f) Contenido del informe de auditoría

En esta parte del dictamen se hace una breve descripción de los puntos que fueron evaluados, describiendo en forma clara, y lo más resumida posible, los aspectos que se consideran como observaciones y desviaciones sobre los asuntos auditados. El propósito fundamental de esta parte del dictamen es informar, de manera resumida, a los funcionarios de la empresa sobre las observaciones y los resultados obtenidos en la auditoría. Se pueden presentar: • las situaciones • observaciones • desviaciones encontradas, • así como sus causas y soluciones Pero se deben presentar en forma muy breve y resumida, pero sin omitir lo más importante

b) Nombre de la empresa (o área interna de auditoría)

En esta parte se anota el nombre de la empresa o del área responsable de hacer la auditoría,

d) Ejecutivo receptor del dictamen

En esta parte se anota el nombre y cargo del funcionario de alto nivel a quien se remite el dictamen. Se deben respetar los grados académicos, puesto y nombre del ejecutivo,

e) Breve introducción al dictamen

En esta parte se anotan las razones que dieron origen a la auditoría, • quién la ordenó • el área • sistema y actividades sujetas a evaluación • las fechas de inicio y terminación la auditoría

a)Logotipo de identificación

En esta parte se pone el logotipo de la empresa responsable de emitir el dictamen de la auditoría,

RESUMEN DE DESVIACIONES DETECTADAS

En este documento se reúnen las desviaciones que el auditor considera como las mas importantes encontradas durante la revisión, así como sus causas y posibles soluciones

c) Fecha de emisión del dictamen

En este punto se anota el lugar y la fecha de entrega del dictamen

Diagrama de flujo

En este tipo de diagramas se señalan los procedimientos por medio de símbolos adoptados para ejemplificar el flujo que siguen los datos.

De menor importancia a mayor

Es cuando se jerarquizan las situaciones reportadas en forma inversa, iniciando por las de menor importancia para concluir con las de mayor importancia.

De mayor importancia a menor

Es cuando se jerarquizan las situaciones reportadas, iniciando por las de mayor importancia para terminar con las de menor importancia, de acuerdo al criterio del auditor.

PROGRAMA DE TRABAJO DE AUDITORÍA

Es el documento formal de los planes, programas y presupuestos hechos para el control y desarrollo de la auditoría

INVENTARIO DE SOFTWARE

Es el inventario de los programas , lenguajes, paqueterías, sistemas operativos y cualquier otro software que se utilice en la institución para el procesamiento de la información y la operación de los sistemas.

Objetivo

Es la definición del fin último que se pretende satisfacer con la auditoría; esta definición se debe redactar en forma sencilla, concreta y contemplando .

Diagramas de sistemas

Es la representación gráfica del procedimiento que se sigue para realizar una serie de operaciones y actividades debidamente coordinadas entre sí.

Gráficas de cualquier tipo

Es la representación gráfica de la información que proporciona un valor significativo a los datos. El propósito de estas gráficas es representar los datos en forma visual.

Confirmaciones en papeles de trabajo

Es muy conveniente que el auditor tenga a la mano el legajo de papeles de trabajo, ya que podría necesitar hacer aclaraciones importantes de lo reportado; entonces puede recurrir a las pruebas documentadas en este legajo. De ahí la importancia de llevarlo.

Análisis estadístico de resultados datos y pruebas de comportamiento del sistema

Es necesario guardar los datos, muestras y fórmulas estadísticas indicadas. • Conservar los documentos relacionados con el análisis estadístico de los resultados, sirven como evidencia de las desviaciones encontradas y pueden servir de referencia para futuras evaluaciones

ACTA TESTIMONIAL:

Es un documento de carácter formal, que por su representatividad, importancia y posibles alcances de carácter legal y jurídico es uno de los documentos vitales. Se pueden evidenciar pruebas fehacientes, circunstanciales, probatorias para comprobar desviaciones en el área auditada y es utilizada para testimoniar los robos, desapariciones o cualquier aspecto relacionado con la desaparición de algún bien de la empresa.

Prólogo

Es una breve descripción en la que el auditor presenta su trabajo, para que el lector sepa lo que encontrará en el informe; el prólogo se debe hacer en forma narrativa, sencilla y simple, y no debe ser muy extenso.

CONFIRMACIÓN

Es uno de los aspectos fundamentales para la credibilidad de una auditoria es la confirmación de los hechos y la certificación de los datos obtenidos durante la revisión.

MATRIZ DE EVALUACIÓN

Es uno de los documentos de recopilación más versátiles y de mayor utilidad para el auditor de sistemas computacionales, debido a que a través de esta es posible recopilar una gran cantidad de información relacionada con las actividades realizadas en esta área de informática. Esta herramienta consiste en una matriz de seis columnas de las cuales la primera corresponde a la descripción, y las otras cinco a un criterio de evaluación descendente o ascendente (Exc., Bueno, Suf., Reg., Deficiente).

Metodología(trabajo)

Especificar los métodos o técnicas ocupadas para el desarrollo de la auditoria. Es una secuencia de pasos lógica y ordenada de proceder para llegar a su resultado.

Narrativa por capítulos

Esta parte de la introducción se refiere a la relatoría de lo que encontrará el lector del informe; dicha descripción tiene que ser concreta y sólo debe incluir lo más importante del contenido del informe.

Cuadros estadísticas y documentos concentradores de información Dichos documentos pueden ser :

Estadísticas. • Gráficas o cuadros en los cuales se concentran y se comparan datos tales como listados de resultados de un proceso. • Listados de seguimiento de las actividades. • Listado de operaciones y tareas que se realizan con un sistema computacional. • Concentrados de información estadística. • Las bitácoras de seguimiento y reportes • Cualquier dato que pueda ser incluido en las estadísticas.

El dictamen preliminar

Este documento es un bosquejo en el cual se indican las desviaciones encontradas y el llamado dictamen que hace el auditor de lo que encontró durante su revisión.

Justificación

Esto significa plantear en forma resumida y concreta los motivos por los cuales se realizó la evaluación de los sistemas computacionales. Con esto se busca que el auditor se anticipe y conteste estos interrogantes: • ¿Para qué? (se hizo la auditoría) • ¿Por qué? (se tuvo que llevar a cabo) • ¿Cuál fue la profundidad? (de la evaluación) • ¿Hasta dónde se profundizó? (en su cobertura) • ¿Por qué se auditó? (para analizar su alcance)

Testimoniales actas y documentos legales de comprobación y confirmación

Estos documentos pueden ser de los más importantes de una auditoría de sistemas, debido a que son el testimonio de empleados, usuarios, responsables o de las personas que por algún motivo declararon algo relacionado con los sistemas auditados o con alguna situación específica.

Testimoniales actas y documentos legales de comprobación y confirmación 2

Estos documentos son muy valiosos en cualquier tipo de auditoría, ya que sirven para corroborar desviaciones importantes, y en algunos casos pueden tener valor legal para posteriores diligencias y pueden servir como pruebas en algún litigio.

Modelos

Estos documentos son muy importantes en la evaluación de los sistemas computacionales, ya que ayudan al auditor a representar la realidad de lo que va a evaluar .

Se deben considerar para la construcción de los objetivos del informe de auditoría los siguientes aspectos:

Evaluar el cumplimiento y mejoramiento continuo • Comprobar que existan y se cumplan razonablemente las condiciones básicas de control sobre los criterios correspondientes a políticas, normas y Procedimientos

TÉCNICO DE SISTEMAS

Experto en sistemas operativos y software básico. Conocedor de productos equivalentes al mercado. Amplios conocimientos de explotación

TÉCNICO DE ORGANIZACIÓN

Experto organizador y coordinador. Especialista en el análisis de flujos de información

ESTRUCTURA DE INFORME COMPLETO

Exposición, sección preliminar, cuerpo, analisis situacional, anexos ,

Estructura inventario de software

Fecha , número de hoja , empresa , periodo , responsable, referencia, software , versión , no. De inventario, no. De licencias, presentación (cd. room), adjuntado a ( área de la empresa donde está ), localización( servidor o área )

Informe

Grado de criticidad en función a la valoración de las deficiencias encontradas y su nivel de severidad.

Metodología utilizada

Hacer la descripción de las herramientas, métodos, técnicas y procedimientos de auditoría de sistemas utilizados durante la evaluación. De llegar a plantearlo, se debe procurar que su presentación sea lo más resumida posible.

Hw

Hardware

CONTENIDO DEL LEGAJO DE PAPELES DE TRABAJO

Hoja de identificación • Índice de contenido de los papeles de trabajo • Dictamen preliminar • Resumen de desviaciones detectadas • Situaciones encontradas • Programa de trabajo de auditoría • Guía de auditoría • Inventario de software • Inventario de hardware • Manual de organización • Descripción de puestos Reportes de pruebas y resultados • Respaldos de datos y programas de aplicación de auditoría • Respaldos de las bases de datos y de los sistemas • Guías de claves para el señalamiento de los papeles de trabajo • Cuadros y estadísticas concentradores de información • Anexos de recopilación de información • Diagramas de flujo, de programación y de desarrollo de sistemas • Testimoniales, actas y documentos legales de comprobación y confirmación • Análisis y estadísticas de resultados, datos y pruebas de comportamiento del sistema

Resumen ejecutivo

Informe de tres (03) páginas, donde se expresa de manera resumida los resultados de la auditoría, indicando las observaciones más significativas del Informe

COMPARACIÓN

La comparación de información se pueden encontrar las similitudes y diferencias entre áreas o empresa, con lo cual se pueden hacer conjeturas y deducciones sobre las desviaciones encontradas.

INFORME FINAL

La función auditoria se materializa exclusivamente por escrito. El auditor avala personalmente su juicio de forma documental. • La elaboración del informe final es la única referencia constatable de toda auditoria y el exponente de su calidad Tiene como finalidad presentar de manera explícita los resultados de la auditoría. • Presentando en detalle la información recabada • Las observaciones • Hallazgos y evidencias relacionados a cada información que ha sido revisada

h) Responsable de emitir el dictamen

La última parte del dictamen de auditoría lleva el nombre, puesto y título del responsable de emitir el dictamen, además de su firma autógrafa.

Formato situaciones encontradas

Las desviaciones que reporta el auditor tienen características especiales, las cuales debe plasmar por escrito en un documento de carácter formal, al que llamaremos formato de situaciones encontradas

Métodos utilizados: informe completo

Las técnicas de evaluación aplicables en una auditoria de sistemas computacionales

Anexos

Material complementario

Implementación y seguimiento:

No corresponde al auditor realizarla, sino a la empresa. Si la empresa decide que participe el auditor servirá para que se interprete correctamente las recomendaciones

conclusión del hecho

No deben redactarse conclusiones más que en los casos en que la exposición halla sido muy extensa y compleja

SEGURIDAD DEL SOFTWARE

Objetivo • Alcance • Situación actual • Tendencias • Puntos débiles y amenazas • Recomendaciones y plan de acción

Análisis situacional

Observaciones , conclusión, recomendaciones, recapitulación de auditoría

El informe de auditoría debe contener, como mínimo, las siguientes secciones:

Oficio de presentación • Introducción • Dictamen de la auditoría • Situaciones relevantes • Situaciones detectadas • Anexos • Confirmaciones en papeles de trabajo

Situaciones relevantes

Parte fundamental del informe de auditoría son los formatos de situaciones relevantes; • Estos son los documentos oficiales donde el responsable de la auditoría reporta las desviaciones que, según su criterio, son las más importantes encontradas durante el desarrollo de la auditoría. Se integra en el informe de auditoría de sistemas computacionales el formato de situaciones encontradas que es donde se concentran todas las desviaciones encontradas durante la evaluación. • Además, este formato dio origen al de situaciones relevantes.

Periodo informe completo

Periodo realización de la auditoria

Metodología(trabajo) división

Planeación • Obtención de la información • Análisis, clasificación y evaluación de la informática. • Informe, elaboración de informe final

Las etapas que conforman el programa de trabajo de la auditoría de sistemas

Planeación. • Ejecución. • Dictamen.

Exposición

Presentación del asunto ( introducción) , Posición del problema

f.1) Jerarquizando las situaciones por importancia

Presentar las desviaciones, observaciones o situaciones de esta manera tiene por objeto dar una cierta jerarquía buscando con ello hacer la presentación de esas situaciones más entendible y con un mayor impacto, y buscando que el lector del informe capte la importancia de la información que reporta.

Cuadros estadísticas y documentos concentradores de información

Presentar todos los documentos del legajo de papeles de trabajo que servirán de soporte para presentar la información recopilada durante la auditoría • Para comprobar las desviaciones plasmadas en las situaciones detectadas y en las situaciones importantes. • Estos documentos son complemento de alguna revisión y sirven para identificar y comprobar desviaciones y situaciones.

Sección preliminar

Propósitos ( objetivos), periodo, alcances , criterios de revisión, métodos utilizados, copia de cuestionarios usados, relación de personas entrevistadas

Introducción Aspectos generales

Prólogo • Objetivo • Justificación • Metodologia utilizar • Narrativa por capitulos

Estructura guía de auditoría

Referencia ( código de referencia), actividad o función a evaluar, técnica de evaluación, ponderación, calificación, observaciones

Otros documentos especializados de una auditoría de sistemas, En el legajo de papeles de trabajo también se debe anexar la información (en papel o electrónicamente):

Relacionada con los reportes • Análisis y resultados de pruebas • Configuraciones y exámenes especializados del sistema computacional Documento de las instalaciones o de cualquier otro aspecto relacionado con el área de sistemas. • Anexar lo relacionado con el procesamiento de información o con cualquier otra actividad informática.

EXPERTO EN EXPLOTACIÓN Y GESTION DE CENTRO DE PROCESO DE DATOS

Responsables de algún centro de computo. Amplia experiencia en automatización de trabajos. Experto en relaciones humanas. Buenos Conocimientos de los sistemas

EXPERTO EN EXPLOTACIÓN Y GESTIÓN DE CENTRO DE PROCESO DE DATOS

Responsables de algún centro de computo. Amplia experiencia en automatización de trabajos. Experto en relaciones humanas. Buenos Conocimientos de los sistemas.

Cuerpo

Resultados / deficiencias de las áreas

Cuáles son OTROS ANEXOS DE RECOPILAR INFORMACION

Resultados del procesamiento de datos • Descripción de puestos, funciones y actividades • Resultados y pruebas de cálculos de procesamientos que se efectúan en el sistema • Copias de formatos y licencias de programas y paqueterías Copias de resguardos de equipos y mobiliario • Mapas de distribución de redes, instalaciones, equipos, muebles y sistemas de información • Mapas de rutas de evacuación y seguridad del área de sistemas Bitácoras de reportes y servicios de mantenimiento preventivo y correctivo • Resultados de inventarios y pruebas de la arquitectura de los sistemas • Resultados de diseños, análisis, codificación, pruebas y liberación de sistemas codificación de los sistemas desarrollados en la empresa. • Resultados de cotizaciones y estudios de mercado para adquisiciones de hardware, software, mobiliario y consumibles de sistemas • Diagramas de sistemas, de programación y desarrollo de sistemas

RESULTADOS / DEFICIENCIAS DE LAS ÁREAS (CUERPO)

SEGURIDAD DEL SOFTWARE, SEGURIDAD DE HARDWARE, SEGURIDAD EN ÁREA DE OPERACIONES, SEGURIDAD FÍSICA, SEGURIDAD LÓGICA,

MATRIZ FODA:

Se analiza sus Debilidades, Oportunidades, Fortalezas y amenazas de la empresa • En una auditoria de sistemas computacionales, se pueden estudiar las influencias que afectan el comportamiento del área de sistemas computacionales de una empresa, tanto las quien recibe de su ambiente interior como exterior, ya sean de la propia empresa o de sus proveedores, desarrolladores o del entrono donde este establecida.

•Investigación previa

Se conoce la empresa y se valida la problemática que fue expuesta por el cliente.

INSPECCIÓN

Se examina la forma en que se desarrollan las actividades de un área de sistemas computacionales, a fin de evaluar y emitir un informe sobre el desarrollo normal de sus funciones y operaciones.

Informe, elaboración de informe final

Se informa de manera clara los resultados de la Auditoria Informática Se presenta las recomendaciones para la mejora. Se entrega por escrito y se presenta apoyado en una exposición verbal.

Obtención de la información

Se obtiene toda información pertinente sobre el caso estudiado, utilizando herramientas como: Entrevistas, Encuestas, Observaciones, Dependiendo del tipo de información, que necesite

Elaboración del programa de la auditoria informática.

Se planea las actividades que han de realizarse, fechas de inicio y termino, así como los tiempos

SITUACIONES ENCONTRADAS

Se presentan todas las situaciones detectadas durante la auditoría • Separan situaciones encontradas • Las causas que las originan y las posibles soluciones • Se anota al responsable de solucionarlas y la fecha de solución para cada causa o situación reportada

Alcance: informe completo

Se refiere a las delimitaciones particulares de las áreas a examinar o reevaluar en el proceso de auditoría.

En el programa de trabajo de auditoría que se registra

Se registran las etapas y actividades a realizar, los tiempos para llevarla a cabo y los recursos disponibles.

Sg

Seguridad informática

Análisis estadístico de resultados datos y pruebas de comportamiento del sistema 2

Sirven como modelo para retomar los procedimientos seguidos y obtener resultados similares. • Conservar por escrito estos análisis debe ser una prioridad para el responsable de la auditoría, ya que de esta manera se podrá interpretar el resultado de su evaluación, y en caso de que el auditor que hizo esos análisis no esté presente, éstos se pueden estudiar y llegar a las mismas conclusiones.

Sw

Software

GUÍA DE MARCAS Y SEÑALES.

Son las marcas de carácter informal que utiliza el auditor o el grupo de auditores que realizan la auditoría, con el fin de facilitar la uniformidad de los papeles de trabajo e identificarlos mejor.

Índice del contenido de los papeles de trabajo

Sugerimos numerar con siglas cada capítulo o parte importante de la auditoría

f.4) Procedimientos de operación o actividad

También se puede hacer una presentación de las situaciones reportadas siguiendo el mismo orden en el que se desarrollan las actividades, funciones u operaciones normales del centro de cómputo auditado

La planeación se divide en

Trabajos preliminares • Investigación previa • Elaboración de programa

Ejemplos de confirmación

Veracidad de los gastos de nomina del personal de la empresa , comparando los resultados de una quincena con los cálculos manuales de esa misma quincena, validar las desviaciones encontradas en los procesamientos • Revisar las licencias de software instalados en los sistemas computacionales • Confirmar la confiabilidad de las protecciones , contraseñas y demás medidas de seguridad establecidas para el acceso a la información y a los sistemas de la empresa.

Presentación del dictamen

a) Logotipo de identificación: b) Nombre de la empresa (o área interna de auditoría) c) Fecha de emisión del dictamen d) Ejecutivo receptor del dictamen e) Breve introducción al dictamen f) Contenido del informe de auditoría f.1) Jerarquizando las situaciones por importancia De mayor importancia a menor De menor importancia a mayor f.2) Cronología de ocurrencia de las situaciones reportadas f.3) Áreas de trabajo o áreas administrativas f.4) Procedimientos de operación o actividad f.5) Simple listado sin ningún orden específico f.6) Otros criterios de presentación g) Dictamen y recomendaciones del auditor h) Responsable de emitir el dictamen

REVISION DOCUMENTAL

avala los registros de operaciones y actividades de una empresa. Esta técnica se aplica verificando el registro correcto de datos en documentos formales de la empresa En los sistemas computacionales es utilizada para evaluar el desarrollo de las operaciones y funcionamiento del sistema, revisar el uso y registro adecuado de los documentos ,verificar la existencia y actualización de registros formales para la administración y control de operación del sistema.

informático general actividad y conocimientos deseables

con experiencia amplia en ramas distintas. Deseables que su labor se haya desarrollado de proyectos conocedores de sistemas.

1ª etapa: Planeación de la auditoría de sistemas computacionales

dentificar el origen de la auditoría • P.2 Realizar una visita preliminar al área que será evaluada • P.3 Establecer los objetivo de la auditoría • P.4 Determinar los puntos que serán evaluados en la auditoría • P.5 Elaborar planes, programas y presupuestos para realizar la auditoría • P.6 Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría • P.7 Asignar los recursos y sistemas computacionales para la auditoría

hecho encontrado

ha de ser relevante para el auditor y para el cliente. Ha de ser exacto, y además convincente. No deben existir hechos repetidos. Deben procurarse evitar incluso las referencias y alusiones a otros hechos En lo posible contar con las evidencias necesarias.

Ejemplo de Gráficas de cualquier tipo

ingresos contra consumos, • a fin de señalar la llamada oferta y demanda

Existen diversas formas de obtener un resultado determinado, y de esto se deriva

la existencia de varias metodologías para llevar a cabo una auditoria informática.

En el ambiente de sistemas, este diagrama de sistemas es

la representación gráfica de un procedimiento de sistematización representado por líneas de flujo y símbolos que representan algún tipo de actividad, el cual está, de documento o de una decisión.

consecuencias del hecho

las consecuencias deben redactarse de modo que sean directamente deducibles del hecho

Formato de situaciones encontradas, el cual contiene las siguientes columnas:

las situaciones • las causas • las soluciones • los responsables de la solución • y las fechas de solución.

ANEXOS

los cuales son documentos en forma de gráficas, cuadros, declaraciones o cualquier otro formato que servirá de soporte para las desviaciones reportadas en el informe final. • No es obligatorio incluirlos, pero sí es conveniente, debido a que se podría necesitar de estas aclaraciones significativas, pues a veces el lector del informe no capta lo que se informa y, para su buen entendimiento, requiere de apoyos ilustrativos, gráficos y cuadros, donde se enfatizan o aclaran las desviaciones reportadas.

Observaciones informe completo

para cada criterio/atributo/dimensión en el cual se haya detectado un hallazgo, el auditor debe plasmar la información recabada con su respectivo análisis, reflejando "qué" se está revisando, "cómo" se comporta el elemento revisado y expresar las "causas o factores" que inciden en él. • Sobre cada observación el auditor debe declarar su conformidad, conformidad con observaciones o no conformidad de acuerdo al caso. • Respecto a los hallazgos que indiquen no conformidades, el auditor debe dirigirlas con responsabilidad, reportarlas de acuerdo a los procedimientos y áreas examinadas, orientarlas con un enfoque positivo y explicar a los aspirantes • Como una oportunidad para mejorar el sistema por medio de acciones correctivas.

repercusión del hecho

se redactará, si existe, las influencias directas que el hecho pueda tener sobre otros aspectos informáticos u otros ámbitos de la empresa auditada.

recomendación del auditor de sistemas

siempre se explicitará la palabra recomendación, y ninguna otra. Deberá entenderse por si sola, por su simple lectura. Deberá estar suficientemente soportada en el propio texto Deberá ser concreta y exacta en el tiempo, para que pueda ser seguida y verificada su implementación. La recomendación se redactará de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla. Deberán evitarse las recomendaciones demasiado generales.

HOJA DE IDENTIFICACIÓN

Ésta es la parte frontal del legajo de papeles de trabajo de la auditoría de sistemas computacionales, • Primer documento formal que se identifica en dicho legajo • Esta hoja, que puede ser una carátula • Se anotan los datos elementales que sirven para identificar la documentación contenida en el legajo.

Diccionario de datos

Éste es otro de los documentos importantes para el auditor, ya que le ayuda a identificar el contenido y composición de las bases de datos, su forma, el tamaño de los archivos, el número de dígitos por cada registro que ingresa a la computadora y demás características que componen una base de datos.

ESTRUCTURA DE INFORME COMPLETO

• Exposición • Sección preliminar • Cuerpo - Deficiencias de las area funcionales - Apreciación de la organización • Analisis situacional • Anexos


Related study sets

Week 4 - Cost behaviour and cost- volume-profit (CVP) analysis

View Set

Open Systems Interconnection (OSI) Model: Tutorial

View Set

World Geography Ch. 31 China (Sect.1 and 2)

View Set

Unique features of plant cells ( Section 4-4)

View Set

Geology 102L Semester Quiz questions

View Set

Rostow's Development Model - Stages 1-5

View Set

HOSP1001 Week 10 Quiz: Chapter 8

View Set