Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Revisin Detallada
Examen y Evaluacin de la Informacin
Pruebas de consentimiento
Pruebas de Controles de los Usuarios
Pruebas Sustantivas
Evaluacin de los Sistemas de Acuerdo al Riesgo
Requerimientos de una auditora
Personal Participante
REVISIN PRELIMINAR:
Es el primer paso en el desarrollo de la auditora,
despus de la planeacin.
Objetivo:
REVISIN PRELIMINAR:
Al terminar la RP puede proceder a seguir uno de los
tres caminos:
Diseo de la Auditora
Realizar una
revisin detallada
de los CI
1
La Revisin Preliminar (RP) significa la recoleccin de
evidencias por medio de entrevistas con el personal de la
instalacin, la observacin de las actividades en la
instalacin y la revisin de la documentacin preliminar.
REVISIN DETALLADA:
Objetivo:
Obtener la informacin necesaria para que el auditor tenga un
profundo entendimiento de los controles usados dentro del
rea de informtica.
2
REVISIN DETALLADA:
En esta fase es importante para el auditor identificar las
causas de las prdidas existentes dentro de la instalacin y
los controles para reducir las prdidas y los efectos
causados por esta.
los sistemas.
3
EXAMEN Y EVALUACIN DE LA INFORMACIN:
4
El director de auditora en
informtica deber establecer un
programa para seleccionar y
desarrollar los recursos, el cual
debe contemplar:
5
PRUEBAS DE CONSENTIMIENTO:
Objetivo:
Determinar si los CI operan como fueron diseados para operar. El
auditor debe determinar si los controles declarados en realidad existen y si
en realidad trabajan confiablemente.
PRUEBAS SUSTANTIVAS:
Objetivo:
Obtener evidencia suficiente que permita al auditor emitir
su juicio en las conclusiones acerca de cuando pueden
ocurrir prdidas materiales durante el procesamiento de la
informacin.
6
Pruebas Sustantivas:
Se pueden identificar ocho diferentes pruebas sustantivas:
7
Evaluacin de los sistemas de acuerdo al
riesgo
Una de las formas de evaluar la importancia que puede
tener para la organizacin un determinado sistema es
considerar el riesgo que implica el que no sea
adecuadamente utilizado, la prdida de informacin o bien
que sea usado por personal ajeno a la organizacin.
8
A nivel del rea de informtica:
Planes de expansin.
Polticas de operacin.
9
Sistemas:
Descripcin general de los sistemas instalados y de los que
estn por instalarse.
Manual de procedimientos de los sistemas.
Descripcin genrica.
Diagramas de entrada, archivos, salidas.
Fecha de instalacin de los sistemas.
Proyecto de instalacin de nuevos sistemas.
Bases de datos, propietarios de la informacin y usuarios de
la misma.
Procedimientos y polticas en caso de desastre.
Sistemas propios y/0 legalidad de los mismos.
Personal Participante:
El nmero de ellos depende de las dimensiones de la
organizacin, de los sistemas y de los equipos.
10
Gracias por su Atencin!
METODOLOGIAS
Hacen referencia al conjunto de procedimientos
racionales utilizados para alcanzar una gama de
objetivos que rigen una investigacin cientfica, tareas
que requieran habilidades, conocimientos o cuidados
especficos.
METODOLOGIAS DE EVALUACION DE
SISTEMAS
11
TIPOS DE METODOLOGIAS
Cuantitativas Basadas en un modelo matemtico
numrico que ayuda a la realizacin del trabajo.
Cualitativas Basadas en un criterio y raciocinio
humano capaz de definir un proceso de trabajo, para
seleccionar en base a experiencia acumulada.
PASOS DE LA METODOLOGIA
Identificacin de la informacin.
Inventario de entidades de informacin residentes y
operativas.
Identificacin de Propietarios
Definicin de jerarquas de Informacin.
Definicin de la matriz de Clasificacin.
Confeccin de la matriz de Clasificacin.
Realizacin del plan de Acciones.
Implantacin y Mantenimiento.
12
CONTROL INTERNO INFORMATICO
La Funcin de Control
La tendencia generalizada es contemplar al lado de la figura del auditor
informtico, la de control interno informtico.
I.S.A.C.A. ( INFORMATION SYSTEMS AUDIT AND CONTROL
ASSOCIATION, ASOCIACION DE AUDITORIA Y CONTROL DE
SISTEMAS DE INFORMACION )
La funcin de Control Informtico Independiente debera ser en
primer lugar independiente de l. La seguridad de sistemas abarca
un campo mucho mayor de lo que es la seguridad lgica,
podramos decir que:
El rea Informtica monta los procesos informticos seguros.
El Control Interno monta los controles.
13
Metodologa para la Auditoria
Tradicionalmente la auditoria era definida como el examen
hecho por una persona o firma de auditores para
proporcionar informacin sobre el desenvolvimiento y
situacin de la empresa a otra u otras personas o entidades
oficiales y sub propsito final, el de detectar fraudes o fallas
y hacer las recomendaciones para prevenirlas.
como actitud.
14
De espacio porque el auditor debe enfrentarse fundamentalmente al
rea de la empresa que debe investigar (a la materia sobre la que se
ha solicitado dictamen o informe).
determinado
nivel individual.
15
Observacin de hechos
Formulacin del problema
pertinentes al problema
Deducciones de las
Prueba de hiptesis implicaciones de la
hiptesis
Determinacin de la
Reconocimiento de los
evidencia relacionada con
problemas que comprende
cada problema
Evaluacin de la
evidencia respecto a la
pertinencia y validez.
Respecto a si son o no Ejecucin de pruebas para
adecuadas para la obtener evidencia
informacin de juicios
16
Se pueden establecer algunos aspectos que permiten notar o
semejanzas o diferencias entre el mtodo de las ciencias y el de la
auditoria.
Sujeto. El investigador nace y se hace; al auditor lo hacen.
El investigador busca estmulos, satisfacciones personales y atrae
hacia si datos originales, el auditor recibe estmulos y/o
motivaciones econmicas por la investigacin, revisin y opinin
queda sobre determinada rea o funcin de la organizacin, no
obstante ello no implica que en ocasiones se encuentre entre
datos hechos o casos muy especiales.
17
Comportamiento del auditor frente al problema:
1 Alcance y objetivos de
la auditoria
2. Estudio preliminar
del entorno auditable
2.c Aplicaciones de bases
2.a Organizacin de datos y archivos
2.b Entorno operacional
3. Recursos de la
auditoria informtica
5. Actividades de la
Tcnicas de trabajo auditoria informtica Herramientas
6. Informe Final
7. Carta de presentacin
del informe final
18
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones
distintas, sino diferentes y muy especficos para cada situacin, y muy
cuidados en su fondo y su forma.
Cabe aclarar, que esta primera fase puede omitirse cuando los auditores
hayan adquirido por otro medios la informacin que aquellos
preimpresos hubieran proporcionado.
Entrevistas:
19
El auditor informtico experto entrevista al auditado
siguiendo un cuidadoso sistema previamente establecido,
consistente en que bajo la forma de una conversacin
correcta y lo menos tensa posible, el auditado conteste
sencillamente y con pulcritud a una serie de preguntas
variadas, tambin sencillas. Sin embargo, esta sencillez es
solo aparente.
Tras ella debe existir una preparacin muy elaborada y
sistematizada, y que es diferente para cada caso particular.
Checklist:
Checklist
Muy por el contrario, el auditor conversar y har preguntas
"normales", de sus Checklists.
20
Checklist.
El auditor deber aplicar el Checklist de modo que el
auditado responda clara y escuetamente. Se deber
interrumpir lo menos posible a ste, y solamente en los
casos en que las respuestas se aparten sustancialmente de
la pregunta.
Checklist
Los cuestionarios o Checklists responden
fundamentalmente a dos tipos de "filosofa" de calificacin
o evaluacin:
CHECKLIST DE RANGO
CHECKLIST BINARIA
CHECKLIST DE RANGO
Contiene preguntas que el auditor debe puntuar dentro de
un rango preestablecido
21
CHECKLIST DE RANGO
Ejemplo de Checklist de rango:
CHECKLIST DE RANGO
Podran formularse las preguntas que figuran a
continuacin, en donde las respuestas tiene los siguientes
significados:
1 : Muy deficiente.
2 : Deficiente.
3 : Mejorable.
4 : Aceptable.
5 : Correcto.
CHECKLIST DE RANGO
Se figuran posibles respuestas de los auditados.
22
CHECKLIST BINARIA
Es la constituida por preguntas con respuesta nica y
excluyente:
Si o No.
CHECKLIST BINARIA
Ejemplo de Checklist Binaria:
<Puntuacin: 1>
CHECKLIST BINARIA
-Conoce el personal de Desarrollo la existencia de la anterior
normativa?
<Puntuacin: 1>
-Se aplica dicha norma en todos los casos?
<Puntuacin: 0>
Los Checklists de rango son adecuados si el equipo auditor no es
muy grande y mantiene criterios uniformes y equivalentes en las
valoraciones. Permiten una mayor precisin en la evaluacin que
en los checklist binarios.
23
Metodologa CRMR (Evaluacin de la gestin de
recursos informticos).
de los usuarios.
24
Metodologa CRMR (Evaluacin de la gestin de
recursos informticos).
Existen sobrecargas frecuentes de capacidad de proceso.
Gestin de Datos.
Control de Operaciones.
Control y utilizacin de recursos materiales y humanos.
Interfaces y relaciones con usuarios.
Planificacin.
Organizacin y administracin.
Ejemplo
Checklist
25
26
Si se observa el listado anterior, el instrumento tiene un
alcance limitado a aspectos generales de SO nuevos o de
actualizaciones. En esta lista no se consideran detalles
como las caractersticas de contraseas o configuraciones
relacionadas con la red, aunque si se indaga sobre la
existencia de polticas que eventualmente podra contener
esta informacin.
Gracias.
27