Beruflich Dokumente
Kultur Dokumente
COATEPEQUE, QUETZALTENANGO
FACULTAD:
Ingeniera en Sistemas
CATEDRA:
A.I.
CATEDRATICO:
CICLO:
Doceavo
TRABAJO:
NOMBRE
Mario de len
CARNE
0906-10-1250
Luis Rufino
0906-07-6050
Marvin Ochoa
0906-10-7211
Ronald Lemus
0906-09-3288
12 de Agosto de 2,016
1
Introduccin
La auditora en informtica debe respaldarse por un proceso formal que asegure
su previo entendimiento por cada uno de los responsables de llevar a la prctica dicho
proceso en la empresa. Al igual que otras funciones en el negocio, la auditora en
informtica efecta sus tareas y actividades mediante una metodologa. Proceso
metodolgico de la auditora en informtica es el uso de un proceso de trabajo
metodolgico y estndar de la funcin de auditora en informtica genera ventajas, los
requisitos para el xito del proceso metodolgico: contar con una metodologa
formalmente documentada no es garanta de que los proyectos de auditora en informtica
tendrn xito. Mtodos, tcnicas y herramientas por rea de revisin. Debe conjuntar y
coordinar de manera eficiente los siguientes factores brindar el aseguramiento de
resultados satisfactorios por parte del desempeo de la funcin de los auditores en
informtica: Qu es una metodologa de auditora de informtica? Un camino
estructurado de forma lgica para asegurar el xito de proyectos de auditora de
informtica.
Tcnicas
Herramientas de productividad
Habilidades personales
Conocimientos tcnicos y administrativos
Experiencia en los campos de auditora e informtica
Conocimiento de los factores del negocio y del medio externo al mismo
Actualizacin permanente.
Involucramiento y comunicacin constante con asociaciones nacionales e
internacionales relacionadas con el campo.
Proceso metodolgico de la auditora en informtica
Adecuacin
-Mtodo
-Tcnicas
-Herramientas
Aprobacin formal
Justificacin
-reas a auditar
-Plan propuesto
Revisin informal
Formalizacin
-Aprobacin
-Arranque
Revisin formal
Desarrollo
-Entrevistas
-Visitas
-Observaciones
-Recomendaciones
-Informe de auditora
Implantacin
-Acciones correctivas
y preventivas
-Seguimiento
Etapa
Productos terminados
Preliminar
(diagnstico)
Justificacin
Adecuacin
1. Diagnstico
de
negocio
2. Diagnstico
de
informtica
1. Matriz de riesgos
2. Plan de auditora
en informtica
1. Plan
y
metodologa
de
acuerdo con el
cliente
2. Plan detallado
Productos terminados
Respons Involucra
able
dos
Involucramiento LP
AD/AI
de la direccin
RI/RAI
Informacin veraz LP
Anlisis de riesgos LP
y reas de
oportunidad
Definir
LP
responsables y
tiempos
Entendimiento
del LP
negocio y de la
funcin de informtica
Detallar
tareas
y
tiempos
AI
RAI/RI
RAI
RI/RAI/P
U
RI/RAI/P
U
Etapa
Formalizacin
Desarrollo
1. Auditar reas
seleccionadas
2. Informe
de
auditora
en
informtica
Implantacin 1.Recomendaciones y
acciones terminadas
2. Aprobacin final
Responsable Involucrados
Aprobacin
AD
formal(firmas)
Respaldo
y AD
apoyo
al
proyecto
Aprobacin LP
de
la
direccin
Asignar
AD/PI/PU
responsables
y tiempos
para
cada
accin
recomendad
a
RI/PU
Compromis
o ejecutivo
Basarse en LP/AI
plan
de
implantaci
RI/RAI/PU
RI/RAI/PU
RI/PU/AI
RAI/LP/AI
LP/AI
RI/PU/RAI
n
Verificacin
cumplimient
o del plan
AD=alta direccin
PU=personal usuario
RI=Responsable del rea de
informtica
PI=personal de informtica
RAI=responsable del rea de auditora en informtica LP= lder del proyecto
de auditora en informtica AI=auditor en informtica
Mtodos, tcnicas y herramientas por rea de revisin.
Conjuntar y coordinar de manera eficiente los siguientes factores brindar el
aseguramiento de resultados satisfactorios por parte del desempeo de la funcin de los
auditores en informtica:
Dominio de los conceptos tcnicos y administrativos relacionados con la auditora
en informtica.
Habilidades inherentes a la auditora en informtica.
Normas personales.
Entendimiento de la auditora en informtica y sus tendencias.
Adaptacin o actualizacin segn el medio dominante.
Administracin formal de la auditora en informtica en el negocio.
Involucramiento formal en los procesos de planeacin del negocio, informtica y
de la auditora tradicional.
Desarrollo de un proceso formal de planeacin de auditora en informtica.
Entendimiento y aplicacin de un proceso metodolgico formal de la auditora en
informtica.
Vocacin profesional por la auditora en informtica (es un requisito moral, no
una poltica organizacional).
Participacin formal en la medida de lo posible- en las asociaciones, institutos
educativos, etc., con fines de actualizacin o de compartir las experiencias
profesionales adquiridas en el campo de la auditora en informtica.
Entendimiento satisfactorio de los mtodos, tcnicas y herramientas necesarios
para auditar.
Otros que dependen de las caractersticas de la organizacin en que se desarrolle
la funcin de auditora en informtica.
Uno de los factores primordiales para que el auditor en informtica obtenga un
desempeo eficiente en su trabajo es el conocimiento y aplicacin de los mtodos,
tcnicas y herramientas comnmente aceptados para la informtica en los negocios o
asociaciones.
Para hacer una adecuada planeacin de la auditora en informtica hay que seguir una
serie de pasos previos que permitirn dimensionar el tamao y caractersticas del rea
dentro del organismo a auditar, sus sistemas, organizacin y equipo. Con ello podremos
determinar el nmero y caractersticas del personal de auditora, las herramientas
necesarias, el tiempo y costo, as como definir los alcances de la auditora para, en caso
necesario, poder elaborar el contrato de servicios.
Dentro de la auditora en general, la planeacin es uno de los pasos ms importantes, ya
que una inadecuada planeacin provocar una serie de problemas que pueden impedir
que se cumpla con la auditora o bien hacer que no se efecte con el profesionalismo que
debe tener cualquier auditor.
El trabajo de auditora deber incluir la planeacin de la auditora, el examen y la
evaluacin de la informacin, la comunicacin de los resultados y el seguimiento.
La planeacin de la auditora deber ser documentada e incluir:
El establecimiento de los objetivos y el alcance del trabajo.
La obtencin de informacin de apoyo sobre las actividades que se auditarn.
La determinacin de los recursos necesarios para realizar la auditora.
El establecimiento de la comunicacin necesaria con todos los que estarn
involucrados en la auditora.
La realizacin, en la forma ms apropiada, de una inspeccin fsica para
familiarizarse con las actividades y controles a auditar, as como identificacin de
las reas en las que se deber hacer nfasis al realizar la auditora y promover
comentarios y la promocin de los auditados.
La preparacin por escrito del programa de auditora.
La determinacin de cmo, cundo y a quien se le comunicarn los resultados de
la auditora.
Revisin preliminar
El primer paso en el desarrollo de la auditora, despus de la planeacin, es la revisin
preliminar del rea de informtica. El objetivo de la revisin preliminar es el de obtener
la informacin necesaria para que el auditor pueda tomar la decisin de cmo proceder
10
11
debe entender a la organizacin y las polticas y prcticas gerenciales usadas en cada uno
de los niveles, dentro de la jerarqua de la instalacin en que se encuentran las
computadoras.
Durante la revisin de los controles de las aplicaciones, el auditor debe entender los
controles ejercidos sobre el mayor tipo de transacciones que fluyen a travs de los
sistemas de aplicaciones ms significativos dentro de la instalacin de computadoras.
Se debe recopilar informacin para obtener una visin general del departamento por
medio de observaciones, entrevistas preliminares y solicitudes de documentos; la
finalidad es definir el objetivo y el alcance del estudio, as como el programa detallado de
la investigacin.
Se deber observar el estado general del departamento o rea, su situacin dentro de la
organizacin, si existe la informacin solicitada, si es o no necesaria y la fecha de su
ltima actualizacin.
En el caso de la auditora en informtica debemos comenzar la investigacin preliminar
con una visita al organismo, al rea de informtica y a los equipos de cmputo, y solicitar
una serie de documentos. La investigacin preliminar se debe hacer solicitando y
revisando la informacin de cada una de las reas, basndose en los siguientes puntos:
Administracin. Se recopila la informacin para obtener una visin general del
departamento por medio de observaciones, entrevistas preliminares y solicitud de
documentos para poder definir el objetivo y alcances del departamento
Para poder analizar y dimensionar la estructura a auditar se debe solicitar:
A nivel organizacin total:
Objetivos a corto y largo plazos
Manual de la organizacin
Antecedentes o historia del organismo
Polticas generales
A nivel del rea de informtica:
Objetivos a corto y largo plazos.
Manual de organizacin del rea que incluye puestos, funciones, niveles
jerrquicos y tramos de mando.
Manual de polticas, reglamentos internos y lineamientos generales.
Nmero de personas y puestos en el rea.
Procedimientos administrativos del rea.
Presupuestos y costos del rea.
Recursos materiales y tcnicos:
Solicitar documentos sobre los equipos, as como el nmero de ellos, su
localizacin y sus caractersticas.
Estudios de viabilidad
Fechas de instalacin de los equipos y planes de instalacin.
12
Contrato de seguros.
Covenios que se tienen con otras instalaciones.
Configuracin de los equipos y capacidades actuales y mximas.
Configuracin de equipos de comunicacin y localizacin de los equipos.
Planes de expansin
Ubicacin general de los equipos.
Polticas de operacin
Polticas de uso de los equipos
Polticas de seguridad fsica y prevencin contra contingencias internas y
externas.
Sistemas:
Descripcin general de los sistemas instalados y de los que estn por instalarse,
que contengan volmenes de informacin.
Manual de formas.
Manual de procedimientos de los sistemas.
Descripcin genrica.
Diagramas de entrada, archivos, salida.
Fecha de instalacin de los sistemas.
Proyecto de instalacin de nuevos sistemas.
Bases de datos, propietarios de la informacin y usuarios de la misma.
Procedimientos y polticas en casos de desastre.
Sistemas propios, rentados y adquiridos.
En el momento de hacer la planeacin de la auditora o bien en su realizacin debemos
evaluar que pueden presentarse las siguientes situaciones:
Se solicita la informacin y se ve que:
No se tiene y se necesita.
No se tiene y no se necesita.
Se tiene la informacin pero:
No se usa
Es incompleta
No est actualizada
No es la adecuada
Se usa, est actualizada, es la adecuada y est completa.
El xito del anlisis crtico depende de las consideraciones siguientes:
Estudiar hechos y no opiniones. Investigar las causas, no los efectos.
Atender razones, no excusas.
No confiar en la memoria, preguntar constantemente.
Criticar objetivamente y a fondo todos los informes y los datos recabados.
13
Personal participante
Una de las partes ms importantes en la planeacin de la auditora en informtica es el
personal que deber participar.
Uno de los esquemas generalmente aceptados para tener un adecuado
control es que el personal que intervenga est debidamente capacitado, que tenga un alto
sentido de moralidad, al cual se le exija la optimizacin de recursos y se le retribuya o
compense justamente por su trabajo.
Se debe contar con personas asignadas por los usuarios para que en el momento que se
solicite informacin, o bien se efecte alguna entrevista de comprobacin de hiptesis,
nos proporcionen aquello que se est solicitando, y complementen el grupo
multidisciplinario, ya que debemos analizar no solo el punto de vista de la direccin de
informtica, sino tambin el del usuario del sistema.
Para complementar el grupo, como colaboradores directos en la realizacin de la
auditora, se deben tener personas con las siguientes caractersticas:
Tcnico en informtica
Conocimientos de administracin, contadura y finanzas.
Experiencia en el rea de informtica.
Experiencia en operacin y anlisis de sistemas.
Conocimientos y experiencia en psicologa industrial.
Conocimiento de los sistemas operativos, bases de datos, redes y comunicaciones,
dependiendo del rea y caractersticas a auditar.
Conocimientos de los sistemas ms importantes.
En el caso de sistemas complejos se deber contar con personal con conocimientos y
experiencia en reas especficas como base de datos, redes, comunicaciones, etc.
Una vez planeada la forma de llevar a cabo la auditora, estaremos en
posibilidad de presentar la carta convenio de servicios profesionales - y el plan de
trabajo.
La carta convenio es un compromiso que el auditor dirige a su cliente para su
confirmacin de aceptacin. En ella se especifican el objetivo y alcance de la auditora,
las limitaciones y la colaboracin necesaria, el grado de responsabilidad y los informes
que se han de entregar.
Una vez que se ha hecho la planeacin, se puede utilizar el formato sealado en la
siguiente figura, el cual servir para resumir el plan de trabajo de la auditora. Este
formato de programa de auditora nos servir de base para llevar un adecuado control del
desarrollo de la misma. En el figuran el organismo, la fecha de formulacin, las fases y
sub fases que comprenden la descripcin de la actividad, el nmero de personas
participantes, las fechas estimadas de inicio y terminacin, el nmero de das hbiles y el
nmero de das- hombre estimados.
Formato de planeacin de la auditora
14
15
Documentos de trabajo
Son todos aquellos documentos requeridos para la ejecucin eficaz y metdica del plan
de auditora. En su forma y contenido describen el alcance y planteamiento de la
auditora y de sus elementos operativos.
Listas de comprobacin (checklist) para evaluar cada elemento del sistema de
la calidad.
Formularios:
-De recopilacin de observaciones;
-De consignacin de las evidencias que soportan las conclusiones obtenidas por
los auditores.
Documentos de trabajo diseados de manera que no limiten las actividades e
investigaciones adicionales que pudieran ser necesarias como resultado de la
informacin obtenida durante la auditora;
Documentos de trabajo confidenciales o que son objeto de propiedad industrial,
salvaguardados adecuadamente por el organismo auditor.
El auditor debe preparar diagramas de flujo y cuestionarios que indiquen el mtodo de
realizar el examen, la naturaleza del objetivo de la auditora, asunto, importancia relativa,
evidencia requerida, norma especificada y criterios de decisin. Tambin se prepararn
impresos para registrar las observaciones, otros resultados de auditoras e impresos
soporte de la evidencia obtenida, con el fin de normalizar la comunicacin y facilitar la
realizacin del informe de la auditora.
El auditor jefe supervisar y coordinar la preparacin de la documentacin de trabajo.
La informacin confidencial y la propiedad intelectual se guardar en condiciones de
seguridad. La documentacin de trabajo y los cuestionarios no deben restringir las
actividades de la auditora.
En caso de que se utilicen planes de muestreo durante la auditora, estos
planes deben estar previamente evaluados y aprobados en lo que respecta a su
aplicabilidad, validez y fiabilidad.
Notificacin al auditado
La notificacin anticipada de la auditora permite realizar los ltimos preparativos al
auditado. El plan de auditora acompaar a la notificacin. Esta notificacin ir dirigida
a la direccin de la organizacin que va a ser auditada e incluir detalles referentes a las
reuniones a mantener y a los requerimientos para la realizacin de las actividades de la
auditora.
Junta de apertura
Es una breve reunin entre el equipo auditor y la direccin de la organizacin que va a
ser auditada, que sirve para clarificar todos los aspectos del plan de la auditora, la
presentacin del equipo auditor y el acuerdo en procedimientos y reuniones.
Reunin inicial (de apertura):
Presentar los miembros del equipo auditor a la direccin del auditado;
Recordar los objetivos y el alcance de la auditora.
16
17
Conclusin
Este trabajo nos ensea la importancia de llevar a cabo una
metodologa para el seguimiento de una auditoria ya que
debemos tener reglas, tcnicas, herramientas para hacer una
auditoria bien organizada y planeada, el hecho de tener un
mtodo y que este bien documentado no significa que la
auditoria sea un xito pero si a tener un orden ante todo.
18