METODOLOGA DE LA AUDITORA INFORMTICA

Fases de Metodologa de Auditora Informtica

1. Identificar el Alcance y los Objetivos de la Auditora Informtica (A.I.) 2. Realizar el Estudio Inicial del entorno a auditar 3. Determinar los Recursos necesarios para realizar la auditora 4. Elaborar el Plan de Trabajo 5. Realizar las Actividades de Auditora 6. Realizar el Informe Final 7. Carta de Presentacin y Carta de Manifestaciones
Metodologa de la Auditora Informtica 2

1. Alcance y Objetivos de la A.I.: Alcance

Entorno y lmites en que se realizar la A.I. HASTA DNDE SE LLEGA Acuerdo por escrito (entre auditor y cliente) cuando se incluyen reas no informticas o cuando la empresa tiene varias sedes, de:
Funciones (Seguridad, Direccin, etc.) Materias (S.O., BD, etc.) Departamentos o reas Organizativas (Explotacin, Sistemas, Comunicaciones, etc.)

Su no definicin pondr en peligro el xito de la A.I. Limitaciones: QU DEJA DE AUDITARSE

Principalmente en materias que pueden suponerse incluidas

Metodologa de la Auditora Informtica

1. Alcance y Objetivos de la A.I.: Objetivos

Auditor debe comprender con exactitud los deseos y pretensiones del cliente, para cumplir con los objetivos Objetivos especficos
Necesidad de auditar una materia de gran especializacin Contrastar algn informe interno con el que resulte del externo Evaluacin del funcionamiento de reas informticas en un determinado departamento Aumentos de seguridad y fiabilidad Aumento de calidad Disminucin de costes o plazos

Objetivos generales (comunes a toda A.I.)

Operatividad de los S.I. Controles Generales de la Gestin Informtica
Metodologa de la Auditora Informtica 4

2. Estudio Inicial
Examinar situacin general de funciones y actividades generales de la informtica Conocimiento de:
Organizacin: Estructura organizativa del Departamento de Informtica a auditar Entorno de Operacin: Entorno de trabajo Aplicaciones Informticas: Procesos informticos realizados en la empresa auditada Bases de Datos Ficheros

Metodologa de la Auditora Informtica

2. Estudio Inicial: Organizacin

Estructura organizativa del Departamento de Informtica a auditar. Organigrama: estructura informtica de la organizacin a auditar
DIRECCIN CONTROL GESTIN RR. HH.

EXPLOTACIN

SISTEMAS

DESARROLLO

SEGURIDAD

PRODUCCIN

PLANIFICACIN

SOPORTE TCNICO

COMUNICACIN

BASES DATOS

Metodologa de la Auditora Informtica

2. Estudio Inicial: Organizacin

Departamentos: describir sus funciones Relaciones Jerrquicas y funcionales
1 Empleado con dos Jefes

Flujos de Informacin, tanto horizontales y oblicuas como extradepartamentales y verticales

Canales alternativos que denotan lagunas en la estructura y organigrama, o bien por simpatas

Nmero de Puestos de Trabajo

Nombres de los puestos de trabajo corresponden a funciones distintas: Deficiencias en estructura si varios nombres con 1 funcin

Nmero de Personas por Puesto de Trabajo

Distribucin de recursos ineficiente Necesidad de reorganizacin

Metodologa de la Auditora Informtica

2. Estudio Inicial: Entorno Operativo

Referencia del entorno de trabajo en el que el auditor va a trabajar Situacin Geogrfica
Diferentes CPDs, con responsables y mismos estndares de trabajo

Arquitectura y Configuracin Hardware y Software

Configuracin de diferentes CPDs compatible y estn intercomunicados

Inventario Hardware y Software

CPUs, procesadores, PCs, perifricos, etc. Software bsico, software interno y software comprado

Comunicaciones y Redes de Comunicacin

Lneas de Comunicacin Acceso a red pblica e intranet

Metodologa de la Auditora Informtica

2. Estudio Inicial: Aplicaciones Informticas

Procedimientos Informticos realizados en la empresa Volumen, Antigedad y Complejidad de las aplicaciones
Periodicidad de ejecuciones de carga de trabajo

Metodologa de desarrollo de aplicaciones Documentacin de aplicaciones Cantidad y Complejidad de Bases de Datos y Ficheros
Tamao y caractersticas de BD y Ficheros Nmero de Accesos a BD y Ficheros Frecuencia de Actualizacin

Metodologa de la Auditora Informtica

3. Recursos de la A.I.
A partir del Estudio Inicial, se determinan los recursos humanos y materiales Recursos Materiales
Proporcionados por cliente en su mayora Software: paquetes de auditora del equipo auditor, compiladores Hardware: PCs, impresoras, lneas de comunicacin Determinacin de incremento de carga del auditado y consenso en fechas y duracin de actividades de auditora

Recursos Humanos
Cantidad depende del alcance de la auditora Perfil depende de la materia a auditar

Metodologa de la Auditora Informtica

10

3. Recursos de la A.I.
P ro fe si n In fo r m t ico G enera lista E xp erto en D esarro llo d e P ro yec to s T cn ic o d e S iste m a s E xp erto en B D y su a d m in istrac i n E xp erto en S o ftw are d e C o m u n ica c io nes E xp erto en E xp lo ta ci n T cn ic o d e O rg an iz a c i n T cn ic o d e E va lu ac i n d e C o stes A ctiv id a d es y c o n o cim ien to s d esea d o s C o n a m p lia e xp e r ie n c ia en d ifere nte s ra m a s (p o r e je m p lo , E xp lo tac i n, D e sarro llo , S iste m as) A m p lia e xp e r ie nc ia co m o Je fe d e P ro yecto s. C o no c ed o r d e la s m eto do lo g a s y tcn ica s m s im p o rtantes d e D esarro llo E xp erto en S S .O O . y S o ftw a re B s ico . A m p lio s co no c im ie nto s d e E xp lo tac i n A m p lia e xp er ie nc ia e n B D y su m a nte n im ie nto , a s co m o en lo s p ro d u cto s utiliz ad o s p ara ello s. C o no c im ie nto s d e E xp lo tac i n C o no c im ie nto s p ro fu nd o s d e co m u n ic a c i n, telep ro ceso , etc. R ed e s, ln ea s de

R e sp o ns a b le d e a lg n C P D . A m p lia e xp e r ie nc ia e n A u to m at izac i n d e T raba jo s. B u e n co o rd ina d o r y o rg an iz ad o s. E sp ecia lista e n e l an lis is d e flu jo s d e in fo r m a c i n E co no m ista co n co no cim ie nto s d e in fo r m t ica

Metodologa de la Auditora Informtica

11

4. Plan y Asignacin de Trabajos

Calendario de actividades a realizar aprobado por responsables de rea y de auditora Aspectos a tener en cuenta: Plan por grandes reas: Elaboracin ms compleja y costosa que implica superior calidad, ms tiempo total y mayores recursos Plan por reas especficas: Resultado obtenido ms rpidamente y con menor calidad Auditora de toda la Informtica o Parcial: determinacin del nmero de auditores y especialistas Planificacin de la Auditora (Gua ISACA) Conocimiento de la organizacin y de sus procesos, para identificar problemas potenciales, alcance, etc. Programa de auditora: Calendario de trabajo (tareas y recursos) y su seguimiento Evaluacin interna del control, mediante pruebas de cumplimiento de los controles
Metodologa de la Auditora Informtica 12

5 . Actividades de la A.I.: Tcnicas

Revisin
Anlisis de la informacin obtenida (principalmente a travs de cuestionarios y entrevistas) y de la propia

Entrevistas
Con mtodo prestablecido y preparacin Gran elaboracin de preguntas, orden Desencadena en checklist: cuestionario minucioso, ordenado y estructurado por materias

Simulacin Muestreos

Metodologa de la Auditora Informtica

13

5. Actividades de la A.I.: Tcnicas: Cuestionario

Objetivo de Control 1. Modificacin en las aplicaciones La Direccin debera establecer procedimientos adecuados para asegurar que se controlan las modificaciones que puedan producirse en las aplicaciones. Tener en cuenta los siguientes aspectos: Revisa o est implicada la direccin en la implantacin y el control de las modificaciones que se realicen en las aplicaciones?. Recoge la direccin comentarios de los usuarios sobre la calidad funcional y operacional de las operaciones?. Revisa la direccin los informes correspondientes o participa en las pruebas a las que se someten las modificaciones, incluyendo informacin sobre el volumen de modificaciones realizadas en las aplicaciones, cambios de emergencia, solicitudes sin atender, etc. Cules son los procedimientos de control correspondientes a este objetivo?

Metodologa de la Auditora Informtica

14

5. Actividades de la A.I.: Herramientas

Cuestionario general Cuestionario-Checklist Simuladores (generadores de datos) Paquetes de Auditora (generadores de programas)
Rastrear los caminos de los datos Utilizados principalmente en auditoras no informticas Paquetes de parametrizacin de libreras

Metodologa de la Auditora Informtica

15

5. Actividades de la A.I.
Movilizacin
Mantener reunin de planificacin inicial para: Determinar el proceso ms eficaz-rentable de obtencin de informacin Determinar el uso de especialistas / herramientas sectoriales

Entorno de Control
Registrar y evaluar el entorno de control de la empresa

Informacin del negocio/sector

Planificar la utilizacin de tecnologa Obtener comprensin del negocio, estructura, riesgos Discutir preocupaciones, necesidades, expectativas

Informacin sobre los sistemas y el entorno informtico

Evaluando los controles de supervisin

Metodologa de la Auditora Informtica

16

5. Actividades de la A.I.
Estrategia de auditora
Reunin de planificacin

Preparar los programas de auditora

Para las reas de auditora, analizando riesgos de error y fraudes identificados

Preparar un plan de tareas

Calendario e informacin a entregar del cliente Plan de tareas, con asignacin de tiempos Roles y responsabilidades de miembros del equipo auditor y estrategia para comunicacin para revisar, asignar tareas y acordar objetivos Establecer medidas para supervisar el progreso, incluyendo reuniones peridicas
Metodologa de la Auditora Informtica 17

5. Actividades de la A.I.
Comunicacin del plan
Informar a los miembros del equipo Presentar al cliente el plan de auditora

Ejecucin
Documentar, evaluar y probar controles de supervisin de las aplicaciones Informar al cliente sobre estado del trabajo y conclusiones alcanzadas

Otros procedimientos de auditora

Informes finales

Revisin
Completar los pasos y tareas del trabajo

Metodologa de la Auditora Informtica

18

5. Actividades de la A.I.
Finalizacin
Completar y revisar el tratamiento informtico. Responder a excepciones Aspecto crticos importantes han sido resueltos, documentados y comunicados al cliente y al equipo Carta de manifestaciones del cliente Firma del auditor

Informacin al cliente
Comunicar las debilidades significativas de control interno y las recomendaciones oportunas

Evaluaciones
Calidad del servicio en relacin con las expectativas del cliente

Metodologa de la Auditora Informtica

19

6. Informe Final: Gua ISACA

Relacin con los Estndares
Estndar 070.010: Contenido e Impreso del Informe El Informe de Auditora indica: Alcance Objetivos Perodo de cobertura Naturaleza y extensin del trabajo de auditora Organizacin Destinatarios del informe Restricciones Hallazgos Conclusiones Recomendaciones
Metodologa de la Auditora Informtica 20

6. Informe Final: Gua ISACA

Necesidad de la gua
Describir prcticas recomendadas para preparar un informe de auditora

Realizacin del informe

Estilo y Contenido: Objetivo, claro, conciso, constructivo y oportuno Apropiado a los destinatarios Identificar organizacin auditada Incluye ttulo, firma y fecha Objetivos (lo que trata de cumplir la auditora) Alcance: naturaleza, tiempo y extensin del trabajo de auditora rea funcional Perodo de auditora Sistemas de informacin, aplicaciones o entornos auditados
Metodologa de la Auditora Informtica 21

6. Informe Final: Gua ISACA

Realizacin del Informe (continuacin)
Restriccin sobre su distribucin Hallazgos significativos de la auditora (causas y riesgos) Conclusin: evaluacin del auditor sobre el rea auditada Recomendaciones, para realizar acciones correctivas Presentacin: lgica y organizada Consideraciones de eventos subsiguientes Fraude descubierto despus de la auditora Incendio despus de la revisin de controles

tica y estndares profesionales Actividades subsiguientes

Peticin de contestacin, que incluya las acciones correctivas como resultado del informe

Metodologa de la Auditora Informtica

22

7. Otra Documentacin
Carta de Presentacin del Informe Final
Resumen en 3 4 folios del contenido del informe final Incluye fecha, naturaleza, objetivos y alcance de la auditora Cuantifica la importancia de las reas analizadas Proporciona una conclusin general, concretando las reas de gran debilidad Presentar las debilidades en orden de importancia

Carta de Manifestaciones
La Direccin de la empresa auditada confirma que se han mostrado transparente y han proporcionado toda la informacin necesaria para la auditora En papel con membrete de la empresa auditada Firman los responsables de los reas relacionados con la auditora: Presidente, Consejero Delegado, Director General

Metodologa de la Auditora Informtica

23

8. Estructura del Informe Final

Ttulo o Identificacin del Informe
Distinguirlo de otros informes

Fecha de Comienzo Miembros del Equipo Auditor Entidad auditada Identificacin de destinatarios Finaliza con
Nombre, Direccin y Datos Registrales del Auditor Firma del Auditor Fecha de emisin del informe

Metodologa de la Auditora Informtica

24

8. Estructura del Informe Final

Objetivos y Alcance de la Auditora
Estndares, especificaciones, prcticas y procedimientos utilizados Excepciones aplicadas

Materias consideradas en la auditora

Situacin actual Hechos importantes Hechos consolidados Tendencias, de situacin futura Puntos dbiles y amenazas (hecho = debilidad) Hecho encontrado Consecuencias del hecho Repercusin del hecho (influencias sobre otros aspectos) Conclusin del hecho Recomendaciones Redaccin de la Carta de Presentacin

Metodologa de la Auditora Informtica

25

8. Estructura del Informe Final: Tipos de Informes

Funcin de opinin del auditor respecto a los objetivos de la auditora Favorable o sin salvedades: trabajo realizado
Sin limitaciones de alcance y sin incertidumbre De acuerdo con la normativa legal y profesional

Con salvedades Desfavorable

Identificacin de irregularidades Incumplimiento de la normativa legal y profesional que afecte a significativamente a los objetivos estipulados

Denegada
Limitaciones al alcance Incertidumbres significativas Irregularidades Incumplimiento de normativa lega y profesional
Metodologa de la Auditora Informtica 26

8. Estructura del Informe Final: Tipos de Informes: Con salvedades

Limitaciones al alcance
El auditor no puede aplicar los procedimientos de auditora requeridos por la normativa legal y profesional o segn su juicio profesional Provenientes de la propia entidad auditada Considerar la naturaleza y magnitudes del efecto potencial de los procedimientos omitidos y su importancia relativa

Incertidumbres
Desenlace que no se puede estimar por depender de que suceda, o no, algn otro hecho: litigios, juicios, etc.

Errores e incumplimiento de normativa legal y profesional

Utilizacin de principios distintos a los generalmente aceptados Ausencia de informacin

Cambios durante el ejercicio respecto a los del ejercicio anterior

Metodologa de la Auditora Informtica 27

8. Estructura del Informe Final: Pautas del Lenguaje y Redaccin del Informe
Ttulos: expresivos y breves Prrafos
Un solo asunto por prrafo 8 10 lneas por prrafo

Frases
Una sola idea por frase No ms de 3 lneas

Otros consejos
Lenguaje sobrio y normal Voz activa, nunca pasiva Omitir palabras innecesarias (con referencia a, consecuentemente con, etc.) Evitar redundancias

Metodologa de la Auditora Informtica

28