Unidad IV

1,383 views

Published on

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,383
On SlideShare
0
From Embeds
0
Number of Embeds
69
Actions
Shares
0
Downloads
20
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Unidad IV

  1. 1. 1METODOLOGÍA PARA REALIZAR AUDITORIAS DE SISTEMAS COMPUTACIONALESSe pueden desarrollar una serie de actividades y técnicas que nos pueden ayudar a realizar laauditoria de información:Inventario físico. Es el proceso de identificación y categorización de los recursos de información de una formasistemática. De esta forma, se proporciona una fotografía de lo que la organización posee entérminos de recursos de información en un momento determinado. Masificación de la información (Infomap). Constituye una forma gráfica de representar losrecursos de información que hay en la organización y las interrelaciones entre éstos. El mapa derecursos indica hasta qué punto los recursos de información son básicos, de qué modo seencuentran posicionados (geográficamente, departamentalmente, desde un punto de vistatécnico), cómo interactúan, quién los utiliza, quién es el responsable, etc.Análisis de las necesidades de información. Tiene como finalidad principal determinar qué información requieren los empleados y ladirección de la organización para desarrollar sus papeles y alcanzar los objetivos.Gráficos de procesos y flujos de trabajo. Los gráficos de procesos junto con los flujos de trabajopueden constituir una buena herramienta de trabajo en el ámbito de las auditorias de lainformación.Procesos de control y verificación.En una auditoria de la información, se deben establecer también los procesos de control yverificación. El resultado de estos procesos puede consistir en un informe o, incluso, uncertificado que confirme que todo es correcto o que incluya recomendaciones de mejora. Hayque tener presente que el mapa de recursos de información, o mapa documental, puedeconstituir uno de los principales resultados del proceso de la auditoria de información. En elcaso del mapa documental, éste detalla qué documentos se encuentran dentro de laorganización, a qué tipo de funciones se encuentran vinculados y dan respuesta, quién tiene laresponsabilidad y el acceso a esos documentos, en qué soporte están disponibles, dónde ycómo se encuentran accesibles y qué relación o nivel de integración tienen con el resto de lossistemas de información de la organización. También se establece la localización de todos losdocumentos dentro de los estándares y los procedimientos de la organización, así como su valorpara el conocimiento corporativoPAPELES DE TRABAJO PARA LA AUDITORÍA DE SISTEMAS COMPUTACIONESA lo largo de todo el trabajo de auditoría, el auditor debe guardar las pruebas evidentes de lorealizado, no solo como recordatorio fundado de su actuación con las necesarias matizacionespara emitir el informe, sino como medio de demostrar, en cualquier momento, la amplitud y laevidencia de los hechos, y poder expresar los procedimientos de auditoría utilizados, así como lainterpretación dada en cada caso a los hechos, con las conclusiones obtenidas.Estas pruebas, deben ser conservadas en lugar protegido, donde no puedan ser inspeccionadaspor terceros ajenos al auditor o equipo de auditores. No deberán destruirse antes de que hayatranscurrido el tiempo que establecen las obligaciones derivadas de las leyes y de las Auditoria de Sistemas Prof. Zoraivett Rodriguez
  2. 2. 2necesidades de la práctica profesional. Su destrucción o pérdida, así como la difusión noautorizada, acarrearía responsabilidad para el auditor. Estructura de contenidos. Cuando hablamos de papeles de trabajo, nos estamos refiriendo alconjunto de documentos preparados por un auditor, que le permite disponer de unainformación y de pruebas efectuadas durante su actuación profesional en la empresa, así comolas decisiones tomadas para formar su opinión. Su misión es ayudar en la planificación y la ejecución de la auditoría, ayudar en la supervisión yrevisión de la misma y suministrar evidencia del trabajo llevado a cabo para respaldar la opinióndel auditor. Han de ser detallados y completos los papales de trabajo y deben estar diseñados parapresentar la información requerida de forma clara y plena de significado. Estos debenelaborarse en el momento en que se realiza el trabajo y son propiedad del auditor, quien debeadoptar las medidas oportunas para garantizar su custodia sin peligro y su confidencialidad.En cuanto a los objetivos de los papeles de trabajo podemos indicar los siguientes:- Servir como evidencia del trabajo realizado y de soporte de las conclusiones del mismo.- Presentar informes a las partes interesadas. - Facilitar los medios para organizar, controlar, administrar y supervisar el trabajo ejecutado enlas oficinas del cliente. - Facilitar la continuidad del trabajo en el caso de que un área deba ser terminada por personadistinta de la que la inició. - Facilitar la labor de revisiones posteriores y servir para la información y evaluación personal.Tipos de papeles de trabajo.En función de la fuente de la que procedan los papeles de trabajo, éstos se podrán clasificar entres grupos: a)Preparados por la entidad auditada. Se trata de toda aquella documentación que la empresa pone al servicio del auditor para que pueda llevar a cabo su trabajo: estados financieros, memoria, escritura, contratos, acuerdos. b) Confirmaciones de terceros. Una parte del trabajo de auditoría consiste en la verificación de los saldos que aparecen en el balance de situación a auditar. c) Preparados por el auditor. Este último grupo estará formado por toda la documentación elaborada por el propio auditor a lo largo del trabajo a desarrollar: cuestionarios y programas, descripciones, detalles de los diferentes capítulos de los estados financieros, cuentas, transacciones,… Sistemas de archivo. Un complemento necesario a los papeles de trabajo lo constituye el archivo de trabajo. En él deben figurar recopilados todos los documentos utilizados en la actuación profesional, así como cuantas informaciones se consideren de interés, tanto para el presente como para el futuro. Se pueden distinguir dos tipos de archivos: expediente de ejercicio y permanente.El contenido de este archivo se refiere a documentos y papeles de trabajo cuya vigencia selimita al período de realización de la auditoría. a) Archivo general Agrupa toda información referente a la organización de la auditoría, almismo tiempo recogerá la documentación en la que se han ido reflejando los principales Auditoria de Sistemas Prof. Zoraivett Rodriguez
  3. 3. 3problemas que se han planteado en la ejecución de la auditoría y las conclusiones a las que a haido llegando el auditor. De esta forma, podríamos destacar como apartados importantes de lasección general del expediente del ejercicio: - Estados financieros a auditar- Proceso de planificación y programas de auditoría- Informe sobre el sistema de control interno contable- Indicación de quién realizó los procedimientos de auditoría y cuándo fueron realizados- Constancia de que el trabajo realizado por colaboradores ha sido supervisado y revisado- Puntos de informe-Correspondencia con el cliente y resumen de las conversaciones mantenidas- Hechos posteriores- Terminación de la auditoríab) Archivo por áreas de trabajoINFORMES DE AUDITORIAObjetivosDestacar la importancia que tiene el saber presentar profesionalmente los informes de auditoríacomputacionales. El auditor tiene que ser muy cuidadoso al plasmar en libro, documento oescrito porque es como dar un sello personal. Procedimientos para elaborar el informe. En elinforme de auditoría, también llamado dictamen, se reportan las situaciones encontradasdurante la evaluación, pero se deben incluir las causas que originan esas situaciones y lasposibles sugerencias para solucionar los problemas encontrados. Los procedimientos paraelaborar dicho informe se compone de los siguientes pasos.1. Aplicar instrumentos de recopilación2. Registrar el formato de situaciones encontrada.3. Comentar las situaciones encontrada con los auditados.4. Analizar, depurar y corregir las desviaciones encontradas.5. Presentar informe y dictamen final a los directivos de la empresa.6. Comentar las situaciones encontrada con los auditados. Una vez identificada las siguientes situaciones encontrada, es responsabilidad del encargado dela auditoria comentar cada una de esas desviaciones con el personal responsable de laoperación o sistema de información o función auditada. Además, comentarlo con los auditadosesto permite preparar las posibles soluciones para esas desviaciones. Encontrar causas de las desviaciones con los auditados. También se recomienda encontrar demanera más fidedigna y confiable las causas que generan cada una de las desviaciones, a fin dereportarla en el informe lo más apegado posible a la realidad. Es necesario tener pendiente queal conocer las desviaciones que se le imputan, el auditado tratara de defenderse, señalando las Auditoria de Sistemas Prof. Zoraivett Rodriguez
  4. 4. 4causas que generaron cada una de las desviaciones encontradas, así directamente al escuchar lavoz del auditado el auditor puede comprobar o ratificar las causas que había planteado. Noobstante, como es natural, en las reuniones muchos de los auditados trataran de evadir ojustificar su responsabilidad en las desviaciones e incluso, en algunos casos extremos, puedenhasta negar la existencia o conocimiento de la situación que se le imputa. Elaboración del informe final y el dictamen del auditor: En ese informe el auditor solo debeincluir lo más relevante de la evaluación, incluyendo su opinión. En este informe es que denotala importancia de su actividad al señalar en qué situación estaba la empresa o departamentoantes de la evaluación por los auditores. El informe es algo práctico y corto, cabe aclarar que larazón de plasmar este informe en tan poco espacio es que los directivos de una empresa, por logeneral, tienen poco conocimiento del el lenguaje que se maneja en los sistemacomputacionales. Características fundamentales: Se pueden identificar dos características fundamentales en losinformes de auditoría en los sistemas computacionales los cuales siempre se refieren alcontenido del informe y la forma de presentarlo. Dichas características son la siguiente:Características de fondo: Se refiere al cuidado que debe tener el auditor de sistema al revisarque el contenido total del dictamen de auditoría sea acorde con lo que realmente tiene queseñalar acerca de la revisión afectada, refiriéndose exclusivamente al contenido del informe.Para esto tiene que tener en cuenta diversos aspectos los como que el documento sea veraz,confiable, oportuno, objetivo, claro, completo y que el lector de dicho dictamen o resumen seapueda entender con facilidad dicho informe.Características de forma: Estas características se refieren a la manera en que el auditor debepresentar el informe en cuanto al estilo de redacción, el contenido en partes, apartados,apéndices, tipo y tamaño de las hojas y el tipo de letra; también en lo relativo en la forma deutilizar la redacción, ortografía, sintaxis, gramática y demás componentes del lenguaje y todo lorelacionado con la presentación del documento.Características de la presentación del informe. Otras de las características más importantes de uninforme de auditoría de sistemas computacionales son los atributos que deben tener laredacción y la presentación del informe; para lograr mejores resultados en la elaboración delcitado informe, el auditor debe tomar en cuenta las características que proponemos acontinuación: Claridad, efectividad, Confiabilidad, positividad, Propiedad, sintaxis, Concisión,Sencillez, Asertividad, Exactitud, Familiaridad y Veracidad.TECNICAS DE EVALUACION APLICABLES EN UNA AUDITORIA DE SISTEMAS COMPUTACIONALESEn la auditoria de sistemas computacionales se utilizan una serie de herramientas tradicionalesde auditoría, así como técnicas de valoración que permite hacer una evaluación más eficiente Auditoria de Sistemas Prof. Zoraivett Rodriguez
  5. 5. 5de los sistemas computacionales. Como profesional especializado en la rama, el auditor desistemas computacionales utilizas estas técnicas pues le ayudan a examinar y evaluarcorrectamente los diferentes aspectos del ambiente de sistemas en el que realiza su trabajo.Estas técnicas, métodos, procedimientos o herramientas son: EXAMEN: Consiste en analizar y poner a prueba la calidad y el cumplimiento de las funciones,actividades y operaciones que se realizan cotidianamente en una empresa, es utilizado paraevaluar los registros, planes, presupuestos, programas, controles y todo lo demás aspectos queafectan la administración y control de una empresa o de las áreas que la integran. En laauditoria de sistemas computacionales podemos entender el examen como: El análisis, pruebao demostración al que se somete algún fenómeno o hecho relacionado con la gestiónadministrativa de un centro de cómputo, de sus componentes o de la operación del sistemaprocesados de información, con el propósito de evaluar el cumplimiento de sus funciones,actividades y operaciones, así como el cumplimiento del procesamiento de datos y la emisión deinformación que se requiere en la empresa o en las áreas que la integren.INSPECCION: La inspección en sistemas computacionales es Sinónimo de supervisión, ya quetrata de examinar la forma en que se desarrollan las actividades de un área de sistemascomputacionales, a fin de evaluar y emitir un informe sobre el desarrollo normal de susfunciones y operaciones; también tiene como propósito monitorear el desarrollo cotidiano delas funciones, actividades y operaciones normales de las empresa, para evaluar y si es necesario,corregir su desarrollo beneficio. Esta herramienta es aplicada de acuerdo con las característicasespecíficas de cada centro de cómputo o de cada sistema computacional, un ejemplo de losposibles aspectos del ambiente de sistemas computacionales donde puede ser aplicada es: Lainspección de los sistemas de seguridad y protección de las instalaciones, equipo, personal y delos propios sistemas de procesamiento, con el propósito de dictaminar sobre su eficiencia yconfiabilidad. CONFIRMACION: Es uno de los aspectos fundamentales para la credibilidad de una auditoria esla confirmación de los hechos y la certificación de los datos obtenidos durante la revisión; yaque el resultado final de una auditoria es la emisión de un dictamen en el que el auditor viertesus opiniones, la característica fundamental de una auditoria, cualquiera que sea su tipo, es laautenticidad con la que el auditor emite sus opiniones, sean a favor o en contra. En los sistemascomputacionales su fin es confirmar la oportunidad, veracidad de los gastos de nomina delpersonal de la empresa , comparando los resultados de una quincena con los cálculos manualesde esa misma quincena, validar las desviaciones encontradas en los procesamientos, revisar laslicencias de software instalados en los sistemas computacionales y confirmar la confiabilidad delas protecciones , contraseñas y demás medidas de seguridad establecidas para el acceso a lainformación y a los sistemas de la empresa.COMPARACION: Esta debe ser aplicada de acuerdo a las necesidades y característicasespecificas del área de sistemas o del propio sistemas que va a ser auditado. Con lacomparación de información se pueden encontrar las similitudes y diferencias entre ambas Auditoria de Sistemas Prof. Zoraivett Rodriguez
  6. 6. 6áreas o empresa, con lo cual se pueden hacer conjeturas y deducciones sobre las desviacionesencontradas. En la auditoria de sistemas computacionales, la comparación de los datos en elsistemas computacionales que va a ser elevado con los datos de algún sistemas similar o igualpara avalar y comprobar que los procesamientos sean similares o iguales y que los resultadossean confiables, verídicos, oportunos y que satisfagan las necesidades de procesamiento delárea de cómputo de la empresa.REVISION DOCUMENTAL: Es la forma más importante de evaluar a las empresas; además nosolo sirve para aplicaciones en una auditoria tradicional, sino también como un importanteapoyo en los diferentes tipo de auditoría de sistemas computacionales; claro esta adoptándola alas características especificas de evaluación de los sistemas computacionales. La revisióndocumental avala los registros de operaciones y actividades de una empresa, principalmente enaquellos casos donde la evaluación está enfocada a los aspectos financieros, registros de losactivos y a cualquier otro aspecto contable y administrativo de la empresa. Esta técnica se aplicaverificando el registro correcto de datos en documentos formales de la empresa, con muchafrecuencia la emisión de sus resultados financieros. En los sistemas computacionales es utilizadapara evaluar el desarrollo de las operaciones y funcionamiento del sistema, revisar el uso yregistro adecuado de los documentos del software, verificar la existencia y actualización deregistros formales para la administración y control de operación del sistema. ACTA TESTIMONIAL: Es un documento de carácter formal, que por su representatividad,importancia y posibles alcances de carácter legal y jurídico es uno de los documentos vitales. Laimportancia de este radica en que con su uso se pueden evidenciar pruebas fehacientes,circunstanciales, probatorias para comprobar desviaciones en el área auditada y es utilizadapara testimoniar los robos, desapariciones o cualquier aspecto relacionado con la desapariciónde algún bien de la empresa, para fincar responsabilidades por deficiencia en las actividades dela empresa; aunque puede ser levantada en cualquier otra incidencia de las actividadescotidiana de una empresa.MATRIZ DE EVALUACION: Es uno de los documentos de recopilación más versátiles y de mayorutilidad para el auditor de sistemas computacionales, debido a que a través de esta es posiblerecopilar una gran cantidad de información relacionada con las actividades realizadas en estaárea de informática, esta herramienta consiste en una matriz de seis columnas de las cuales laprimera corresponde a la descripción, y las otras cinco a un criterio de evaluación descendenteo ascendente (Exc., Bueno, Suf., Reg., Deficiente).MATRIZ DOFA: es un acrónimo de Debilidades, Oportunidades, Fortalezas y amenazas de laempresa, las cuales son analizadas cada una por separado en cuanto a su presencia interna y ala influencia que la empresa recibe del exterior. El fundamento para la aplicación de la matrizDOFA en una auditoria de sistemas computacionales, es que mediante la misma se puedenestudiar las influencias que afectan el comportamiento del área de sistemas computacionalesde una empresa, tanto las quien recibe de su ambiente interior como exterior, ya sean de lapropia empresa o de sus proveedores, desarrolladores o del entrono donde este establecida. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  7. 7. 7TECNICAS ESPECIALES DE AUDITORIA DE SISTEMAS COMPUTACIONALESDiagramas del círculo de evaluación. Herramienta de apoyo para la evaluación de los sistemascomputacionales. Para valorar visualmente: El comportamiento de los sistemas que estánsiendo auditados. Su cumplimiento Sus limitaciones. Durante las diferentes etapas: EstudioPreliminar, Análisis del Sistema, Diseño Conceptual, Diseño Detallado, Programación, Pruebas,Implantación. Diagramas del círculo de evaluación. ¿Que Podemos Evaluar Con EstaHerramienta? Seguridad en el área de sistemas computacionales. Evaluación administrativa delárea de sistemas.Evaluación de los sistemas computacionales Seguridad en el área de sistemascomputacionales: Acceso físico al área de sistemas. Acceso, uso, mantenimiento y resguardo delas bases de datos. Del personal informático. De las instalaciones del área de sistemas. Plan decontingencias. Seguridad lógica del sistema.Evaluación administrativa del área de sistemas De la misión, visión, objetivos, estrategias,planes, programas, estructura de la organización, perfil de puestos.Evaluación de la documentación de sistemas, de la seguridad y la protección de los archivosinformáticos, instalaciones.Evaluación de la capacitación, adiestramiento y promoción del personal.Evaluación del desarrollo de proyectos informáticos, estandarización de metodologías,programas, equipos, sistemas, mobiliario. Lista de verificación (o lista de chequeo).Instrumentoque contiene criterios o indicadores a partir de los cuales se miden y evalúan las característicasdel objeto, comprobando si cumple con los atributos establecidos. La lista de verificación seutiliza básicamente en la práctica de la investigación que forma parte del proceso de evaluación.Análisis de la diagramación de sistemas. Análisis de la diagramación de sistemas. Unas de lasprincipales herramientas para el análisis y diseño de los sistemas computacionales. El analistapuede representar: Los flujos de información., actividades, operaciones, procesos y otrosaspectos que intervienen en el desarrollo de los propios sistemas El programador puedevisualizar el panorama específico del sistema, para elaborar de manera más precisa lacodificación de instrucciones para el programa. Análisis de la diagramación de sistemas. Elauditor puede utilizar esta herramienta para el diseño de sistemas de diferentes formas en unaauditoria de sistemas, de acuerdo con su experiencia, conocimientos y habilidades, mismas quedebe canalizar en los siguientes sentidos: Solicitar los diagramas del sistema. Analizar eldiagrama del sistema. Elaborar un diagrama del sistema. Verificar la documentación de lossistemas a través de sus diagramas. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  8. 8. 8PROPUESTA DE PUNTOS QUE SE DEBEN EVALUAR EN UNA AUDITORÍA DE SISTEMAS COMPUTACIONALESEn el desarrollo de sistemas se debe emplear la misma metodología que utilizan losdiseñadores de sistemas o el equipo de trabajo asignado. Mientras que el objetivoprimario del auditor es evaluar la suficiencia de los controles internos, el objetivodel diseñador de sistemas es satisfacer las necesidades de los usuarios; ambos deberíancompartir el deseo de ver que se logran los objetivos de cada uno.PARTICIPACION DEL AUDITORAún cuando el auditor esté interesado en todos los aspectos del nuevo sistema, debevelar porque se establezcan todos los controles de aplicación. Su principal funciónes asegurar que los sistemas, recientemente implantados incluyan característicasde control sólidas y confiables. En términos generales es ayudar a prevenir quese implanten sistemas de aplicación que tengan riesgos importantes.El auditor participa en el proceso de desarrollo de sistemas revisando la documentacióngenerada como producto final de ciertas actividades de desarrollo de sistemas.En estas actividades su interés se concentrará primordialmente en el desarrolloe implantación de controles de aplicación adecuados. El auditor necesita reconocer que suparticipación durante el desarrollo de los sistemas puede amenazar su independencia y deberátomar medidas para evitar esta pérdida. Estas medidas incluyen:* Permanecer organizacionalmente independiente del grupo de sistema. Esto significaque el auditor no es un miembro en propiedad del grupo de desarrollo de sistemay no le quita la dirección del proyecto al gerente del grupo del proyecto.* Redactar los informes independientemente del grupo del proyecto. Las opinionesdel auditor, sus recomendaciones y sus evaluaciones no deberían incluirse en losinformes de status del proyecto puesto que el emisor de los informes (usualmenteel gerente del grupo del proyecto) tiene autoridad editorial para modificar lasdeclaraciones del auditor. * Investigar independientemente del grupo del proyecto. El grupo del proyecto puedeestar restringido a ciertos contactos y cierta autoridad, pero el auditor tienelibre acceso a la información y al personal de la organización.PROGRAMA DE TRABAJO 1. Establecer el planeamiento preliminar del trabajo de auditoría: En este primer paso se obtiene un conocimiento inicial de las actividades del sistema y evaluarlas en relación con los objetivos de auditoría, a fin de determinar el alcance preliminar. 2. Participación del Auditor en el Desarrollo de Sistemas: Determinar el grado de participación del auditor en cada fase del ciclo de vida del sistema, una vez que ha sido identificado. Los auditores de sistema necesitan participar en el proceso de desarrollo de los sistemas para garantizar que los nuevos sistemas de información Auditoria de Sistemas Prof. Zoraivett Rodriguez
  9. 9. 9 diseñen las medidas adecuadas de auditoría y de control. Los dos tipos de autorización donde se involucra el auditor son: El auditor debe tener un grado de participación mediante un acuerdo y revisión de las fases.3. Acuerdo: Es el acuerdo formal con el contenido del producto tangible. En caso de desacuerdo, la persona responsable de evaluar el producto tangible prepara un memorando indicando su posición y los items que requieren solución y lo envía o remite al siguiente nivel superior gerencial.4. Revisión: Los productos tangibles son presentados para información solamente; pueden hacerse comentarios pero ellos no son decisivos.5. Revisión de Productos Finales: Acordar y revisar las actividades y el producto final de cada fase del ciclo de vida del desarrollo del sistema. El auditor debe revisar que las firmas de aprobación para todos los productos tangibles están plasmadas en el control de aceptación de etapas. Así mismo el auditor debe preparar los papeles de trabajo con el propósito de evidenciar y documentar los resultados de la investigación del proyecto y que sirvan como material de referencia para esfuerzos futuros.6. Identificar las fuentes de información para las revisiones y/o pruebas de auditoría: Este paso incluye la identificación de las fuentes de información que se requieren en los procesos de prueba y revisión. Las fuentes de información proveen los medios para la revisión y documentación de las actividades de auditoría y verificación de controles. Auditoria de Sistemas Prof. Zoraivett Rodriguez

×