METODOLOGIA PARA REALIZAR AUDITORIAS DE SISTEMAS COMPUTACIONALES CAPITULO 5 FUENTE: Muñoz Razo AUDITORIA V METODOLOGIA PARA REALIZAR AUDITORIAS DE SISTEMAS COMPUTACIONALES ORIGEN DE LA AUDITORIA VISITA PRELIMINAR ESTABLECER OBJETIVOS DETERMINAR PUNTOS A EVALUAR ELABORAR PLANES, PRESUPUESTOS Y PROGRAMAS IDENTIFICAR Y SELECCIONAR HERRAMIENTAS, METODOS TECNICAS Y PROCEDIMIENTOS ASIGNAR LOS RECURSOS DE AUDITORIA Y SISTEMAS APLICAR AUDITORIA IDENTIFICAR DESVIACIONES Y ELABORAR BORRADOR DEL INFORME PRESENTAR DESVIACIONES A DISCUSION ELABORAR BORRADOR FINAL DE DESVIACIONES AUDITORIA V PRESENTAR EL INFORME DE AUDITORIA METODOLOGIA PARA REALIZAR AUDITORIAS DE SISTEMAS COMPUTACIONALES Llevar a cabo una auditoría de sistemas computacionales requiere una serie ordenada de acciones y procedimientos específicos, los cuales deberán ser diseñados previamente de manera secuencial, cronológica y ordenada, de acuerdo a las etapas, eventos y actividades que se requieran para su ejecución, mismos que serán establecidos conforme a las necesidades especiales de la institución. AUDITORIA V 1era. ETAPA PLANEACION DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES Identificar el origen de la Auditoría. Realizar una visita preliminar al área que será evaluada. Establecer los objetivos de la Auditoría. Determinar los puntos que serán evaluados en la Auditoría. Elaborar planes, programas y presupuestos para realizar la Auditoría. Identificar y seleccionar los métodos, procedimientos, instrumentos y herramientas necesarios para la Auditoría. Asignar los recursos y sistemas computacionales para la Auditoría. AUDITORIA V IDENTIFICAR EL ORIGEN DE LA AUDITORIA 1. Por solicitud expresa de procedencia interna. A petición de accionistas, socios y dueños. Por orden de la dirección general. 2. Por solicitud expresa de procedencia externa. Por mandato de autoridades judiciales. Por ordenamiento de las autoridades fiscales. 3. Como consecuencia de emergencias y condiciones especiales. De incidencia interna. De incidencia externa. 4. Por riesgos y contingencias informáticas. Riesgos y contingencias del personal informático. Riesgos y contingencia de software. Riesgos y contingencias en las bases de datos. 5. Como resultado de los planes de contingencia. Por la carencia de planes de contingencia. Por la elaboración de planes de contingencia. AUDITORIA V DETERMINAR LOS PUNTOS QUE SERAN EVALUADOS EN LA AUDITORIA 1. Evaluación de la seguridad de los sistemas de información. 2. Evaluación de la información, documentación y registros de los sistemas. AUDITORIA V IDENTIFICAR Y SELECCIONAR LOS METODOS, HERRAMIENTAS, INSTRUMENTOS Y PROCEDIMIENTOS NECESARIOS PARA LA AUDITORIA 1. Definir las áreas y puntos de sistemas que serán auditados. 2. Elaborar los documentos necesarios para la Auditoría. Diseñar los instrumentos de recopilación de información para la Auditoría. Diseñar las guías para realizar entrevistas. Diseñar los métodos e instrumentos de muestreo. Diseñar los sistemas, programas y métodos de pruebas para la Auditoría. 3. Determinar los puntos de interés, programas, bases de datos, archivos y sistemas que serán evaluados mediante programas y pruebas de cómputo. AUDITORIA V 1RA. ETAPA PLANEACIÓN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES IDENTIFICAR EL ORIGEN DE LA AUDITORIA El primer paso formal para iniciar la planeación de una auditoría en el área de sistemas es identificar el origen de la misma, con el objetivo de saber por que surge la necesidad de realizar una auditoría. AUDITORIA V 1. POSIBLES CAUSAS QUE DAN ORIGEN A UNA AUDITORIA EN SISTEMAS •Por solicitud expresa de procedencia Interna •Por solicitud expresa de procedencia Externa •Como consecuencia de emergencias y condiciones especiales •Por riesgos y contingencias informáticas •Como resultado de los planes de contingencia •Por resultados obtenidos de otras auditorias •Como parte del programa integral de auditoria AUDITORIA V 2. REALIZAR UNA VISITA PRELIMINAR Aspectos que se deben contemplar en una visita preliminar: •Visita preliminar de arranque •Contacto inicial con funcionarios y empleados del área. •Identificar preliminar de la problemática de sistemas. •Prever los objetivos iniciales de la auditoria. •Calcular los recursos y personas necesarias para la auditoría. AUDITORIA V PLANEACION DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES 2. REALIZAR UNA VISITA PRELIMINAR AL AREA QUE SERA EVALUADA IDENTIFICACIÓN PRELIMINAR DE LA PROBLEMÁTICA DE SISTEMAS Prever las posibles dificultades que hay en los sistemas de la empresa, la cual nos servirá para tener un panorama anticipado del área a auditar. PREVER LOS OBJETIVOS DE LA AUDITORIA Con la visita preliminar nos ayudará a seleccionar los objetivos de la auditoría de sistemas. CALCULAR LOS RECURSOS Y PERSONAS NECESARIAS PARA LA AUDITORIA . A través de la observación, entrevistas y pláticas informales, se pueden medir con mayor exactitud los recursos necesarios que se emplearán, tales como recurso humano, informático, material, técnico, económico, etc. 3. ESTABLECER LOS OBJETIVOS DE LA AUDITORIA El objetivo representa las condiciones futuras que pretenden alcanzar los individuos, grupos u organizaciones, lo cual es sumamente aplicable para el caso de la auditoría de sistemas,, ya que al establecer el objetivo de una auditoría se busca anticipar lo que se desea alcanzar. AUDITORIA V PLANEACION DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES 3. DE ACUERDO A SU AMBIENTE DE APLICACIÓN, LOS OBJETIVOS DE LA AUDITORÍA DE SISTEMAS SE PUEDEN COMPLEMENTAR ASÍ: OBJETIVO GENERAL: Es el fin global o integral que se pretende alcanzar con el desarrollo de la auditoría. OBJETIVOS PARTICULARES: Son los fines individuales que se pretenden alcanzar con el desarrollo de la auditoría. OBJETIVOS ESPECÍFICOS DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES: Es determinar en forma detallada, los fines que se pretenden alcanzar con la auditoría de sistemas, señalando concretamente las áreas a evaluar y, específicamente, los sitemas, componentes o elementos concretos que deben ser evaluados. Ejemplo: Evaluar la gestión administrativa del área de informática. AUDITORIA V PLANEACION DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES 4. DETERMINAR LOS PUNTOS QUE SERAN EVALUADOS EN LA AUDITORIA Los puntos que será evaluados, se determinarán de acuerdo al origen de la auditoria y los objetivos que se pretenden alcanzar . a. b. c. d. e. AUDITORIA V Evaluación de las funciones y actividades del personal del área de sistemas Evaluación de las áreas y unidades administrativas del centro de cómputo. Evaluación de la seguridad de los sistemas de información. Evaluación de la información, documentación y registros de los sistemas. Evaluación de los sistemas, equipos, instalaciones y componentes. PLANEACION DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES 4.2 ELEGIR LOS TIPOS DE AUDITORIA QUE SERAN UTILIZADOS Después de determinar los puntos a evaluar, es necesario que se determine los tipos de auditoria o sea las herramientas, instrumentos y los métodos de evaluación que se utilizará para dictaminar acerca del funcionamiento del área de sistemas 4.3 DETERMINAR LOS RECURSOS QUE SERAN UTILIZADOS EN LA AUDITORIA A. PERSONAL PARA LA AUDITORIA DE SISTEMAS. B. PERSONAL DEL ÁREA QUE SERÁ EVALUADA. C. APOYO DE LOS SITEMAS Y EQUIPOS TÉCNICOS E INFORMÁTICOS AUDITORIA V 5. ELABORAR PLANES, PRESUPUESTOS Y PROGRAMAS PLAN DE AUDITORIA DE SISTEMAS Ìndice de Contenido: Es conveniente que en estos documentos siempre se incluya una sección en donde se señalen todos los puntos en que se dividió el plan de autitoria. Definición de Objetivos: Es la definició formal, por escrito, de los objetivos que se pretenden alcanzar con la auditoria. Delimitación y estrategia para el desarrollo de auditoria: Contiene las estrategias para las diferentes partes de auditoria de sistemas. Planes de auditoria: En ellos se detalla cada una de las acciones para la evaluación, estos se presentan da acuerdo a las preferencias y necesidades especificas de auditoria de la empresa. AUDITORIA V CONTENIDO DE LOS PLANES PARA REALIZAR LA AUDITORIA Este documento debe contener detalladamente las fases, etapas, actividades, recursos y tiempo para realizar la auditoria. Es evidente que el auditor determinara su contenido mínimo en base a sus conocimientos y experiencias, cuando menos debe de considerar los siguientes aspectos. Definir los Objetivos finales de la Auditoria. Establecer Estrategias para realizar la auditoria. Diseñar las etapas, eventos y tareas en que se dividirá la auditoria. Calcular la duración de las tareas y eventos para satisfacer los objetivos de la auditoria. Distribuir los recursos que serán utilizados en las diferentes etapas, actividades y tareas de la auditoria. Confeccionar los planes concretos para la auditoría. Elaborar el documento formal de los programas de auditoria (a través de un cronograma de actividades). Definir las etapas y eventos que se llevaran a cabo. Definir las actividades y tareas. Elaborar los programas de actividades para realizar la auditoria. AUDITORIA V FECHA 26 3 2005 HOJA 26 de 29 Auditoria de Sistemas Empresa: USAC Auditor: William Morales AUDITORIA V Período: 01 al 16 de marzo de 2005 Àrea Auditada: Depto. de Informática. 6. IDENTIFICAR Y SELECCIONAR LOS METODOS, HERRAMIENTAS, INSTRUMENTOS Y PROCEDIMIENTOS NECESARIOS PARA LA AUDITORIA. Elaborar los documentos necesarios para la auditoria Determinar herramientas, métodos y procedimientos para la auditoria de sistemas Diseñar los sistemas, programas y métodos de pruebas para la auditoria. AUDITORIA V 7. ASIGNAR LOS RECURSOS Y SISTEMAS COMPUTACIONALES PARA LA AUDITORIA 7.1 Asignar los recursos humanos para la realización de la auditoria 7.2 Asignar los recursos informáticos y tecnológicos para la realización de la auditoria 7.3 Asignar los recursos materiales y de consumo para la realización de la auditoria. 7.4 Asignar los demás recursos para la realización de la auditoria. AUDITORIA V 2ª. ETAPA: EJECUCIÓN DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES Realizar las acciones programadas para la auditoria Aplicar los instrumentos y herramientas para la auditoria Asignar los recursos y actividades conforme a los planes y programas Recopilar la documentacion y Evidencia s de la auditoria Identificar y elaborar los documentos de desviaciones Elaborar los Documentos y presentarlos a discusión AUDITORIA V Elaborar el borrador de desviaciones Integrar el legajo de papeles de trabajo de la auditoria Integrar los documentos y pruebas en papeles de trabajo. 2ª. ETAPA: EJECUCIÓN DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES Continuación……….. Realizar las acciones programadas para la auditoria Aplicar los instrumentos y herramientas para la auditoria Identificar y elaborar los documentos de desviaciones encontradas Elaborar el dictamen preliminar y presentarlo a discusión Integrar el legajo de papeles de trabajo: AUDITORIA V 3ª. ETAPA: DICTAMEN DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES La información, y elaborar un informe de situaciones detectadas Elaborar el Dictamen final Presentar el Informe de Auditoria AUDITORIA V CASO PRÁCTICO SOBRE LA METODOLOGÍA DE UNA AUDITORIA EN SISTEMAS AUDITORIA V PRIMERA ETAPA El día 1 de febrero de 2004, la Junta Directiva de la Empresa S-3 “101”, S. A., solicita a la firma de Auditores Externos Robledo, Soto y Asociados para que realice una Auditoria en Informática. AUDITORIA V VISITA PRELIMINAR El día 5 de febrero, el socio Juan Soto encargado de la auditoria, realiza una visita preliminar a la empresa XY con el propósito de tener contacto con los funcionarios, empleados y usuarios del área de sistemas. AUDITORIA V OBJETIVO Evaluar la utilización y aprovechamiento del equipo, las instalaciones y mobiliarios del centro de cómputo, así como del uso de sus recursos técnicos y materiales para el procesamiento de la información. AUDITORIA V PUNTOS A EVALUAR La seguridad física del hardware y del personal del área de sistemas. El aprovechamiento del hardware y software. Las funciones y actividades del personal del área de sistemas. AUDITORIA V PROGRAMA DE AUDITORIA Actividades a Realizar Evaluación de los lenguajes, programas y demás software utilizados en la empresa. Evaluar el control para evitar el robo de información. Evaluar los Manuales de operación y procedimientos del sistema. AUDITORIA V PROGRAMA DE AUDITORIA Continuación… Evaluar el control de acceso al sistema así como la restricción del acceso a personas no autorizadas al centro de cómputo. Evaluar el nivel de prevención de virus y protección de programas piratas. AUDITORIA V PROGRAMA DE AUDITORIA Continuación… Evaluar la organización del departamento de sistemas. Evaluar la capacitación del personal de sistemas y de los usuarios. Determinar la actualización periódica respecto a cambios en tecnología informática. AUDITORIA V PROGRAMA DE AUDITORIA Continuación… Evaluar la correcta operación de la información que se ingresa en los sistemas, así como los resultados que se desean obtener. Revisión del inventario del software, licencias y componentes internos y externos. AUDITORIA V PROGRAMA DE AUDITORIA Continuación… La auditoria será realizada por 1 encargado y dos auxiliares. El tiempo estimado para la realización del trabajo de campo son 3 semanas y 2 para la emisión del informe. Los honorarios que se cobrarán ascenderán a Q.50,000 más IVA. AUDITORIA V INSTRUMENTOS Y HERRAMIENTAS NECESARIOS Cuestionarios Entrevistas Observación Conteo físico (Inventario) Inspección Confirmación Comparación AUDITORIA V SEGUNDA ETAPA Ejecución de la auditoria El trabajo de campo fue realizado del 8 al 28 de febrero. El dictamen preliminar fue realizado del 2 al 5 de marzo y presentado para su discusión el 8 de ese mismo mes. AUDITORIA V TERCERA ETAPA Luego de la discusión del informe, se le hicieron las modificaciones necesarias. El 17 de marzo, se presentó el informe definitivo a la junta directiva de la Empresa XY, S. A. AUDITORIA V GRACIAS POR SU ATENCION PREGUNTAS Y RESPUESTAS AUDITORIA V
