P. 1
Metodologia Para Realizar Auditoria de Sistema

Metodologia Para Realizar Auditoria de Sistema

5.0

|Views: 10.932|Likes:
Publicado porandreluisamarce

More info:

Published by: andreluisamarce on Mar 10, 2010
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PPT, PDF, TXT or read online from Scribd
See more
See less

03/08/2014

pdf

text

original

Introducción

Para llevar a cabo una audito de sistemas auditoria computacionales se requiere una serie ordenada de uiere acciones y procedimientos es tos específicos los cuales deberán ser diseñados previa previamente de manera secuencial, cronológica y orde ordenada de acuerdo a las etapas, eventos y actividades que requieran para su dades ejecución.

Introducción
Con base a lo anterior podem entender la necesidad odemos de establecer una metodologí especifica de revisión, dología la cual nos servirá para diseñ correctamente los diseñar pasos a seguir en la evaluació de áreas de sistemas y luación actividades elegidas, a fin de que el seguimiento, desarrollo y aplicación de las etapas y eventos e propuestos sean más sencillo encillos.

Etapas fundamentale en la entales Metodología.
‡ Planeación de la auditoria de sistemas itoria computacionales oria de ‡ Ejecución de la auditoria d sistemas computacionales oria ‡ Dictamen de la auditoria de sistemas computacionales

Fases y Pasos para realizar auditorías de sistem istemas computacionales es
‡ Planeación de la auditoria de sistemas oria d computacionales o Identificar origen de la aud a auditoria. o Realizar visita preliminar al área que será evaluada. inar o Establecer objetivos de aud auditoría. o Determinar puntos que ser e serán evaluados. o Elaborar planes, programa y presupuestos para ramas realizar auditoría. ar o Identificar y seleccionar los métodos, herramientas, instrumentos y procedimien dimientos para la auditoría. o Asignar recursos y sistema computacionales stemas

Fases y Pasos para realizar auditorías de sistem istemas computacionales es
‡ Ejecución de la auditori de sistemas ditoria computacionales
o o o o o

Realizar acciones program rogramadas para auditoria. Aplicar los instrumentos y herramientas para la ntos auditoria. Identificar y elaborar los d r documentos de desviaciones encontradas. Elaborar el dictamen prelim preliminar y presentarlo a discusión. Integrar la documentación de trabajo de la auditoria. tación

Fases y Pasos para realizar auditorías de sistem istemas computacionales es
‡ Dictamen de la auditori de sistemas ditoria computacionales
o o o

Analizar la información y e ión elaborar un informe de situaciones detectadas. as. Elaborar el dictamen final. Presentar el informe de au auditoría.

PLANEACIÓN DE L AUDITORIA LA DE SISTEMAS COMPUTACIONALE NALES
‡ Para realizar una auditoría de sistemas itoría computacionales se requie la definición de las requiere actividades necesarias par su ejecución y esto se as para logra con una adecuada pl ada planeación. ‡ Se deben identificar claram claramente las razones por las cuales se va realizar la aud auditoria y determinar los objetivos de la misma así c a como el diseño, métodos, técnicas y procedimientos para llevarla a cabo. entos

PLANEACIÓN DE L AUDITORIA LA DE SISTEMAS COMPUTACIONALE NALES
‡ El responsable de la plane planeación de esta primera etapa de la metodología de iniciar con el gía debe planteamiento de los siguie siguientes interrogantes.
‡ ¿Por qué se realizara la aud auditoría? ‡ ¿Se debe hacer una visita p ta preliminar al área de sistemas? ‡ ¿Cuál es el objetivo que se p pretende alcanzar con esta auditoría?

Identificar el origen d la auditoria. igen de
‡ El primer paso formal en la p n planeación de auditoría en el área de sistema es identifica el origen de la auditoria, lo ntificar primero es saber por qué sur la necesidad o inquietud ué surge de realizar una auditoría. Pa esto se debe preguntar ía. Para ¿de dónde?, ¿Por qué?, ¿qu ¿quién?, o para qué se requiere hacer la evaluación de algún aspecto. ación ‡ Para el responsable de realiz la auditoria es de suma realizar importancia identificar el orig debido a que además origen de proporcionarle elementos necesarios para realizar entos una buna auditoria, también le ayuda definir los bién elementos de juicio que cont e contribuirán a formar un criterio.

Identificar el origen d la auditoria. igen de
‡ También pude saber de ante e antemano cuales serán los aspectos primordiales en la e evaluación, es decir, cuales serán los asuntos más releva relevantes sobre los cuales deberá trabajar.

Causas para realizac ealización de una auditoria
‡ Solicitud expresa de procede rocedencia interna: se define re necesidad de realizar una como origen oficial sobre la n temas auditoría al área de sistemas de la empresa, debido a petición formal de algún func n funcionario de la misma. ‡ A petición de accionistas, so as, socios y dueños: este es uno de los más comunes orígene ya que esta solicitud es rígenes ordenada por los dueños de la empresa con el propósito os de saber cómo se administra su patrimonio, como se inistra utilizan los recursos y como es el rendimiento de su omo patrimonio.

Causas para realizac ealización de una auditoria
‡ Por orden de dirección gene general: esta revisión se realiza uien ejerce la autoridad máxima por orden directa por quien e ude abarcar varios motivos, como e la empresa, la cual pude a evaluación periódica, por des or desconfianza de dirigentes, para verificar el cumplimiento de actividades, para miento verificar el aprovechamiento de los sistemas iento computacionales. ‡ Por orden de gerencia o dep departamentos de nivel superior: esta petición se orig origina por mando superior de la empresa según su estruct structura organizacional y funciones.

Causas para realizac ealización de una auditoria
‡ Solicitud externa: este es otr de los orígenes oficiales, otro debido a que surge de una p petición formal de alguien ajeno a la empresa a quien p alguna causa le interesa uien por que sean auditados los siste sistemas computacionales. ‡ Por mandato de autoridad ju dad judiciales: es uno de los más comunes por que deriva de a a autoridades judiciales las cuales por algún motivo impo o imponen la realización de una auditoria la empresa por sos or sospecha de piratería, carencia de licencia de software, pres , presunción de mal uso de software, delitos informáticos áticos.

Causas para realizac ealización de una auditoria
‡ Por ordenamiento de autorid utoridades fiscales: es uno de los tes orígenes más importantes de una auditoría externa y es s fiscales imponen la realización cuando las autoridades fisca de la misma con el propósito de verificar información pósito sistematizada de la empresa para verificar el presa, funcionamiento del sistema e el ámbito contable, el tema en correcto y oportuno calculo d impuestos o los lculo de resultados financieros y oblig obligaciones, ocasionalmente para verificar licencias de us de software y paquetería usos institucional con el fin de evit piratería informática. e evitar

Causas para realizac ealización de una auditoria
‡ Por solicitud de distribuidore y desarrolladores de idores software y hardware: es de o s origen especial donde la empresa puede dictaminar s accede o se niega a ello inar si según sus intereses particula rticulares, pero jamás este tipo r carácter impositivo. de auditoría deberá ser de ca e emergencias y condiciones ‡ Como consecuencia de eme especiales: este tipo de audi e auditoría se realiza cuando se presenta situaciones de eme e emergencia y condiciones extraordinarias en el área de sistemas las cuales están rea fuera de control, la auditoria se realiza casi de inmediato itoria sin que medie la autorización de funcionarios. ización

Causas para realizac ealización de una auditoria
‡ De incidencia interna: este ti de auditoría se realiza tipo cuando se presenta novedad en el área de sistemas vedades la cual repercute en alguno d los recursos informáticos guno de ya sea en el personal o usua usuarios, en el equipo de cómputo. ‡ De incidencia externa: este t tipo de auditoría se presentan por contingencias emergencia o incidencias ncias, de carácter externo que repe e repercuten en el área de sistemas, tomo memos como ejemplo: ataques de virus, temblores, incendios lo cual lleva de inmediato a la evaluación de los daños sufr s sufridos en el área de sistemas.

Causas para realizac ealización de una auditoria
‡ Por riesgos y contingencias i ncias informáticas: se presenta arios, por solicitud de funcionarios, personal o usuarios del do área de sistemas, cuando a ocurrido alguna contingencia que afecte el pr e procesamiento de la información. ‡ Riesgos y contingencias del personal informático: esta s or posibles riesgos derivados de solicitud se presenta por pos humano. la actuación del factor human

Causas para realizac ealización de una auditoria
‡ Riesgos y contingencias físic s físicas: esta solicitud se ngencia presenta por una contingenc o posible riesgo derivado de los bienes tangibles de la empresa en el área de sistemas. ‡ Riesgos y contingencias ope s operativas: este tipo de solicitud se presenta por con or contingencias o riesgos que posiblemente afectaran el fu n funcionamiento operativo(lógico) del sistema cuando el comportamiento stema, del software, así como nivele de seguridad, niveles limitaciones de manejo de ar archivos , bases de datos influirán en el funcionamiento del sistema miento computacional.

Causas para realizac ealización de una auditoria
‡ Riesgos y contingencias en l base de datos: esta s las sivamente para evaluar el manejo solicitud se hace exclusivam mplada de la información contemplad en la operación de bases de datos. ‡ Como resultados de planes d contingencia: esta anes de solicitud se presenta por la im or implantación de planes de contingencia ya sea que care e carezca de estos o no el área de sistemas y se necesite ev site evaluar su posible efecto o que ya estén establecidos y se quieran evaluar el grado dos de utilidad para dichos sistem sistemas.

Causas para realizac ealización de una auditoria
‡ Como parte de un programa integral de auditoría: rama también es frecuente que ex ue existan programas concretos de auditoría integral o global los cuales se aplica en la empresa para evaluar la corr correcta administración y comportamiento de todas su áreas. as sus

Realizar visita prelim preliminar al área que será evaluada
Es imprescindible que el audi realice una visita l auditor preliminar después de conoce el origen de la petición onocer de la auditoria y antes de inici e iniciarla formalmente, con el propósito de tener un contacto inicial con el personal, ntacto para que verifique el área que será evaluada, observe a a distribución de los sistemas y el número de equipos y temas en sí que conozca la problem oblemática ala cual se enfrentara.

Aspectos de la Visita preliminar
‡ Visita preliminar de arranque: esta visita la realiza el nque: auditor con la finalidad de adv e advertir de antemano las siguientes cuestiones:
o ¿Cómo se encuentran distribu ribuidos los sistemas del área?
o o o o o o

¿Cuántos, cuales como y de qué tipo son los equipos ? ¿Cuáles son, a simple vista, las principales características ta, físicas se los sistemas? ¿Cómo reacciona el persona ante la visita? onal ¿Cuáles son las mediad de s seguridad visible? ¿Cómo actúan los usuarios? os? ¿Qué limitaciones se observ para realización de la ervan auditoria?

Aspectos de la Visita preliminar
‡ Contacto inicial con funciona cionarios y empleados del área: en esta visita el auditor aprov r aprovecha para hacer contacto con los funcionarios, emplea mpleados y usuarios del área de sistemas, con el propósito de conocer cuáles son sus sito expectativas y ver cuáles son sus reacciones ante la les realización del la auditoria, e oria, esto le permitirá conocer las limitaciones que tendrá en cu cuanto cooperación ya que la visita del auditor en la empre casi siempre no es bien empresa recibida lo que le generara p rara problemas en el proceso de evaluación.

Aspectos de la Visita preliminar
‡ Identificación preliminar de la problemática de sistemas: r el auditor pude y debe aprov aprovechar para saber cuál es la problemática a la que se enf e enfrentara el área de sistemas su personal y usuarios, proce , procesamiento y administración de bases de datos aunque s de carácter obligatorio. que sea ‡ Prever los objetivos iníciales de la auditoria: otro ciales btener aspecto que se pude obtene de la visita al área que e anticipar cuales objetivos se será auditada se puede antic o menos van a satisfacer y por lo men tratar de entender cuales son las metas que se quieren alcanzar. ue

Aspectos de la Visita preliminar
‡ Calcular recursos y personas necesarias para la rsonas auditoria: otro beneficio de la visita es poder calcular el o tipo, la cantidad de recursos que serán necesarios para ursos llevar a cabo la evaluación, c ción, contemplando los recursos de carácter humano, informá formático, material técnico y económico.

Establecer los objeti objetivos de la auditoria
Después de haber realizado l dos fases anteriores lo zado las que sigue es definir de forma clara los objetivos de la auditoria, ajustándolos a las n necesidades de la evaluación, el propósito es es establecer claramente lo que busca.

Aspectos a analizar alizar
‡ Objetivo general: es el fin global que se pretende alcanzar in glob con el desarrollo de la auditor de sistemas en el cual se uditoria plantean los aspectos que se pretenden evaluar. ue ‡ Objetivos particulares: son los fines individuales que se on pretende alcanzar con el desa l desarrollo de la auditoria ya sea de un área especifica de un s e sistema en especial o de alguna función en particular. ular.

Aspectos a analizar alizar
‡ Objetivos específicos de la a e auditoria de sistemas computacionales: es la deter determinación, en forma detallada, de los fines que se pretenden alcanzar con la auditoria de sistemas, señala señalando concretamente las áreas a evaluar y, específica cíficamente, lo sistemas, componentes o elementos co ntos concretos que deben ser evaluados.

Determinar los punto que serán puntos evaluados en la aud a auditoria
‡ Después de haber realizado l tres faces anteriores lo zado las que sigue es determinar los p r puntos concretos que serán evaluados. ‡ Es de suma importancia desta destacar la definición y establecimiento de los puntos que se debe evaluar es el untos elemento fundamental de apo del auditor, debido a que e apoyo esto es producto de un anális previo, tanto del origen de análisis la auditoria y de la visita previ como de los objetivos que previa se pretenden satisfacer con e esta auditoría.

Determinar los punto que serán puntos evaluados en la aud a auditoria
‡ La selección de tale puntos, los cuales, por su propia ntos, diversidad, pueden y deben ser establecidos de acuerdo eben a las necesidades de evalua valuación de la empresa, del equipo y del sistema operativ así como la forma de perativo, procesamiento de informació que se tiene establecida rmación en la empresa. ‡ Cabe aclarar que este criteri de selección es de criterio carácter general y solo se pr presenta al nivel de sugerencia y el responsable de la auditoria deberá sable determinar su aplicación rea de acuerdo con las n real, necesidades de la evaluació Los puntos a evaluar se luación. pueden agrupar de la siguien forma: iguiente

Determinar los punto que serán puntos evaluados en la aud a auditoria

Personal de la a e auditoria
‡ Es el personal especializad que aplica sus ializado conocimientos, habilidades y experiencias en las idades diferentes disciplinas de la auditoría, utilizando para ello técnicas, procedimient , métodos de imientos evaluación, herramientas e instrumentos de revisión ntas especializados y tradiciona icionales para la evaluación del sistema.

Personal del área que será l evaluado
‡ Este personal no estará a d ará disposición del auditor y tampoco tiene ningún tipo d autoridad sobre el ni de injerencia en su trabajo. jo.

Apoyo de los siste s sistemas y equipos técnicos e informá formáticos.
‡ Estos recursos incluyen ha en hardware, software (sistemas operativos, Aplic , Aplicaciones especializadas, librerías, base de datos, en otros), instalaciones, tos, entre el personal especializado e las operaciones del zado en sistema y la información al área a auditada. ión

Apoyos materiales y eriales administrativos os
‡ Estos recursos son impres prescindibles para el buen desempeño de los auditore tales como: ditores,
o o o o

Oficina principal privada. ada. Lugares de trabajo exclus xclusivas. Apoyo logístico y secretar para realizar cretarial evaluaciones. ministrativo del área de sistemas. Apoyo logístico y administ

Otros apoyos os
‡ Dependiendo de las neces necesidades especificas de la evaluación del sistema, pa la revisión de ciertos a, para aspectos del área de sistem que se tengan que sistemas auditar de maneta particula rticular.

Recursos econó económicos
‡ El auditor debe comprobar los gastos efectuados robar durante la evaluación o pue pueden ser libres de comprobación. Estos gastos se representan en los gasto siguientes rubros:
o o o

Viáticos. Pasajes. Otros gastos.

Elaborar planes, p nes, programas y prepuestos
‡ Se deben elaborar los docu s documentos que contemplen los planes formales para el desarrollo de la ara auditoria, los programas en donde se delimiten las as etapas, eventos, actividade y los tiempos de vidades ejecución para cumplir los objetivos. lir

Elaboración del do documento formal de los plane planes
‡ Es conocido como Plan de Auditoría de Sistemas, el lan cual contiene todos los asp os aspectos relacionados con la realización de la auditoría. A continuación algunos itoría. aspectos :
o o o o o

Las actividades: Respons sponsables, recursos y tiempo. Los eventos: guías de acc e acción. Estimaciones: Recursos. rsos. Los tiempos: duración de actividades y la auditoria. ón Los auditores: responsabi nsabilidades.

Plan de auditoría ditoría
‡ La portada: es la primera hoja del documento, en la mera cual se establece los siguie siguientes puntos:
o o o o o

Nombre y logotipo de la e e empresa responsable de la auditoria. Indicación del nombre del documento. re Nombre de la empresa (ár sa (área) auditada. Nombre del responsable d elaborar el plan de able de auditoría. Fecha de vigencia del plan el plan.

Portada de identifi dentificación del Plan de auditoría itoría

Plan de auditoría ditoría
‡ Índice: tiene como objetivo ayudar a una rápida bjetivo consulta del documento. nto. ‡ Definición de objetivos: s los objetivos que se vos: son pretenden alcanzar con la auditoria. on ‡ Delimitación de estrategi de el desarrollo: es rategias s estrategias para diferentes bueno contemplar las estra . partes de la auditoria.

Plan de auditoría ditoría
‡ Planes de auditoría: aquí se detalla cada una de : las acciones para la evalua evaluación. ‡ Definición de normas, políticas y lineamientos: as, po es importante que las activ s actividades que van a realizar loa auditores estén bien de ien detalladas en el proyecto, para evitar traumas en el fu n funcionamiento de la empresa auditada.

Plan de auditoría ditoría
‡ Contenido de los planes para realizar la anes auditoría: es la elaboració de todos los planes oración formales de la auditoría, el cual debe contener de ría, manera especifica las fase etapas, actividades s fases, recursos y tiempos de ejec e ejecución.

Plan de auditoría ditoría
‡ Definir los objetivos finales estos objetivos se inales: deben redactar de manera sencilla , objetiva y anera concreta. egias para la auditoria: se ‡ Establecer las estrategias p ecisa redactan de forma precisa con el fin de que loa an rápida y perfectamente. auditores las entiendan ráp

Plan de auditoría ditoría
‡ Calcular la duración de las tareas y eventos: se la ción de debe planear la duración d acuerdo con la ad concreta y la forma de importancia, necesidad con una satisfacer el objetivo de un tarea o evento. os qu ‡ Distribuir los recursos que serán utilizados en las diferentes etapas y ac s actividades: en esta parte se establece la asignación de los recursos que ación serán utilizados, document umentando detallada mente su utilizacio.

Plan de auditoría ditoría
‡ Confeccionar los planes co nes concretos: se establecen de manera escrita y grafica las etapas, eventos, tareas y actividades, incluy incluyendo la duración de cada uno de estos aspectos. s. ‡ Elaborar el documento form de auditoría: se to formal cologa en forma grafica, lo eventos, actividades ica, los

Plan de auditoría ditoría
‡ Elaborar el documento form de auditoría: se to formal coloca en forma grafica, los eventos, actividades ica, que se realizaran, con su d n duración de cada una de las partes en que se dividió el trabajo de valuación. ‡ Este documento debe ser u e unido al anterior, ya que es parte integral de él y sol se complementa con l solo los sigientes:

Plan de auditoría ditoría
‡ Elaborar el documento form de auditoría to formal
o o o

Grafica del programa de a a actividades. Definición de las etapas y eventos que se llevaran pas acabo. tividades Definición de las actividad y tareas.

Plan de auditoría ditoría
‡ Elaborar el documento form de auditoría to formal

Plan de auditoría ditoría
‡ Elaborar los programas de actividades para mas d realizar la auditoria: se redacta en forma escrita y : re grafica, especificando los t o tiempos en que se lleva acabo cada una de loas et as etapas, eventos y actividades, para cada peri a periodo de duración de cada una de las partes en que s dividió e trabajo de se evaluación.

Plan de auditoría ditoría
‡ Definir de manera precisa las etapas: se debe recisa cisa las definir de manera precisa l posibles etapas en las ma, buscando se congruente y que se dividirá la misma, b división coherente en la en la divisi de las actividades, en trabajo, cuanto al volumen de traba importancia del luado aspecto que será evaluado y el peso que tendría la etapa para toda la auditoria ditoria.

Plan de auditoría ditoría
‡ Identificación concretam retamente de los eventos que se deben llevar a cabo en cada etapa: tomando el bo so esperado, al cual se debe evento como un suceso es a serie llegar después de una seri de actividades. ades, ‡ Delimitar las actividades, tareas y acciones para cada evento: el auditor se el responsable de itor será establecer estas actividade tareas y acciones, vidades, para que se cumplan las m metas de la auditoría.

Plan de auditoría ditoría
‡ Distribuirlos recursos que serán utilizados en os qu las diferentes etapas, eve s, eventos, actividades y tareas: se determina los re recursos humanos como los recursos adicionales qu serán utilizados en les que cada una de esas etapas. pas. ‡ Calcular la duración de las etapas ,actividades y la tareas: dicha estimación s debe hacer de acuerdo ción se a la disponibilidad de los re recursos, a la prioridad de cada etapa a la habilidad d responsable. idad del

2 Etapa: Ejecución de la cución auditoria
‡ Después de planeación de la auditoria, se debe ión proceder a la ejecución, la cual estará determinada ón, por las características conc s concretas, los puntos y los requerimientos que se esti e estimaron en la etapa de planeación.

2 Etapa: Ejecución de la cución auditoria
‡ Los principales puntos son los siguientes: s

2 Etapa: Ejecución de la cución auditoria
‡ Concretamente, los siguien iguientes aspectos:
o o o o o

Realizar las acciones Prog s Programadas para la auditoria. Aplicar los instrumentos y herramientas para la ntos auditoria. r documentos de la Identificar y elaborar los d desviación. preliminar y presentarlo a Elaborar el dictamen prelim discusión. ntos de Integrar los documentos d la auditoria.

3 Etapa: Dictamen de la tamen auditoria
‡ El ultimo paso de la metod etodología que hemos estudiado en emitir el dicta l dictamen, el cual es el resultado final de la auditor Se debe tener en uditoria. cuenta los siguientes punto puntos:
o o o

Analizar la información y e ión elaborar un informe de situaciones detectadas. as. Elaborar el dictamen final Presentar el informe de la auditoria.

3 Etapa: Dictamen de la tamen auditoria
‡ Analizar la información y elaborar un informe de n e situaciones detectadas : es el análisis de los papeles as de trabajo y la elaboración d en borrador de las ción de llamadas situaciones encont ncontradas, el propósito es que el auditor elabore su borrado y comente las orrador desviaciones con los auditad uditados. En este punto se elaboran las siguientes activ actividades:
Analizar los papeles de trabajo trabajo. Señalar las situaciones encon ncontradas. Comentar las situaciones enco s encontradas con el personal auditado. o Realizar las modificaciones ne es necesarias. o Elaborar el documento delas s elas situaciones relevantes.
o o o

3 Etapa: Dictamen de la tamen auditoria
‡ Elaborar el dictamen final: se debe terminar el informe nal: de la auditoria y complement ementarlo con el dictamen final (opinión del auditor), para ell se elaboran las siguientes ara ello actividades:
Analizar la información y elabo un documento de elaborar desviaciones detectadas. . o Elaborar el informe y el dictam ictamen formales. o Comentar el informe y el dicta l dictamen con los directivos del área. o Realizar las modificaciones ne es necesarias.
o

3 Etapa: Dictamen de la tamen auditoria
‡ Presentar el informe de la auditoria: eta e hacer presentación se debe hace con toda la formalidad oración del caso, con la elaboració del dictamen de la una auditoria, y en medio de un reunión directiva. El llevar los siguientes informe de auditoria debe l puntos:
o o o o

ción. La carta de presentación. ditoria. El dictamen de la auditoria iones El informe de situaciones relevantes. dicionales. Anexos y cuadros adicion

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->