La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Ing. John Toasa Espinoza

Publicada porNúria Artiga Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Ing. John Toasa Espinoza"— Transcripción de la presentación:

1 Ing. John Toasa Espinoza
Universidad Autónoma de los Andes Evaluación y Auditoría Informática Unidad 1: Metodología de una Auditoría de Sistemas Computacionales - ASC Ing. John Toasa Espinoza 2012

2 Agenda Objetivo Conceptos Objetivos generales de la auditoría
Objetivos generales de la ASC Principales áreas, actividades y resultados que se auditan en la Auditoría y en la ASC. Que se debe evaluar en una ASC Normas ético-morales del Auditor Informático Métodos, técnicas, herramientas y procedimientos de auditoría de sistemas Representación esquemática de la Metodología para realizar ASC (metodología y planeación) Conclusiones Taller y trabajo final (caso práctico)

3 Objetivo Proponer una metodología específica que puede ser aplicable a la realización de cualquier tipo de auditoría en el campo de sistemas computacionales, con el propósito de mostrar una forma concreta de llevar a cabo la planeación, selección de herramientas, desarrollo y presentación de los resultados de estas auditorías.

4 Conceptos… Según: Real Academia Española
Qué es Auditoria ? Es la revisión independiente de alguna o algunas actividades, funciones específicas, resultados u operaciones de una entidad administrativa, realizada por un profesional de auditoría, con el propósito de evaluar su correcta funcionalidad, y con base en ese análisis, poder emitir una opinión autorizada sobre la razonabilidad de sus resultados y el cumplimiento de sus operaciones.

5 Conceptos… Según: Real Academia Española
Qué es Auditoría Informática ó Auditoría de Sistemas ó Auditoría de Sistemas Computacionales ó ……. . ?????? Es la revisión técnica y especializada que se realiza a los sistemas de una empresa, con el propósito de evaluar el uso adecuado de estos sistemas en relación con los servicios que proporcionan estos sistemas.

6 Conceptos… Según: Real Academia Española
Qué es un Auditor ? Persona capacitada para realizar auditorías en empresas u otras instituciones. En el informe los auditores dan una opinión independiente de la organización.

7 Objetivos generales de la Auditoria
Realizar una revisión independiente de las actividades. Hacer una revisión especializada de las actividades. Evaluar el cumplimiento de las actividades. Dictaminar de manera profesional e independiente sobre los resultados obtenidos en esas actividades.

8 Objetivos generales de la ASC
Realizar una evaluación con personal multidisciplinario y capacitado en el área de sistemas. Hacer una evaluación sobre el uso de los recurso financieros. Evaluar el uso y aprovechamiento de los equipos de cómputo. Evaluar el aprovechamiento de los sistemas de procesamiento.

9 Objetivos generales de la ASC
Evaluar el cumplimiento de las actividades. Realizar la evaluación de las áreas con el apoyo de los sistemas computacionales. Objetivos generales de la Auditoría Objetivos generales de la ASC Se relacionan unos con otros

10 Qué se debe evaluar en una ASC ?
Hardware Software Gestión informática Información Diseño de sistemas Bases de datos Seguridad Redes de cómputo Especializadas

11 Clasificación de la ASC
Auditoría con la computadora Auditoría sin la computadora Auditoría a la gestión informática Auditoría al sistema de cómputo Auditoría alrededor de la computadora Auditoría de la seguridad de sistemas computacionales Auditoría a los sistemas de redes Auditoría integral a los centros de cómputo Auditoría ISO-9000 a los sistemas de computacionales Auditoría Outsourcing Auditoría ergonómica de sistemas computacionales

12 Métodos, técnicas, herramientas y procedimientos de ASC
Instrumentos de recopilación de datos aplicables en la auditoría de sistemas. Entrevistas, cuestionarios, encuestas, observación, inventarios, muestreo, experimentación. Técnicas de evaluación aplicables en la auditoría de sistemas. Examen, inspección, confirmación, comparación, revisión documental. Técnicas especiales para la auditoría de sistemas computacionales. Guías de evaluación, ponderación, simulación, evaluación, diagrama del círculo de sistemas, diagramas de sistemas, matriz de evaluación, programas de verificación, seguimiento de programación.

13 Normas ético – morales profesionales del auditor
Estas son las normas ético-morales que regulan la actuación del auditor. Normas para la capacitación del auditor. Normas para la conducta observable del auditor. Normas para el desarrollo del trabajo del auditor. Normas para la emisión del informe de auditoría.

14 Representación esquemática de la metodología de ASC
Planeación Ejecución Dictamen METODOLOGIA Realizar un proceso de PLANEACION Para que nos permita EJECUTAR la METODOLOGIA 3 2 1

15 Consideraciones metodológicas
Una metodología es necesaria para que un equipo de profesionales alcancen un resultado homogéneo en equipos de trabajo heterogéneos. Las metodologías usadas por un profesional dicen mucho de su forma de entender su trabajo. La informática ha sido tradicionalmente una materia compleja en todos sus aspectos.

16 Conceptos… Según: Real Academia Española
Método, es el modo de decir o hacer una cosa. Metodología, conjunto de métodos que se siguen en una investigación científica o en una exposición doctrinal. Esto significa que cualquier proceso científico debe estar sujeto a una disciplina de proceso definida con anterioridad. Son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz

17 Conceptos… Según: Real Academia Española
Planeación, es el proceso de decidir de antemano qué se hará y de qué manera, la cual tiene una implicación futura. Plan, es un método detallado formulado de antemano, para hacer algo. Programa, son cursos de acción detallados que señalan los pasos específicos que habrán de realizarse para lograr los objetivos, indicando la secuencia cronológica y los tiempos de duración de dichos pasos.

18 Conceptos… Según: Real Academia Española
Actividad, es el conjunto de operaciones ejecutadas ó de actos, desarrollados por una o varias personas y que contribuyen al logro de una función. Tarea, es la subdivisión del trabajo para concretizar una actividad. Plan de trabajo, es la representación gráfica en la que se muestran las actividades que integran un proyecto, el periodo de tiempo necesario para realizar cada una de ellas y sus responsables así como los de cada actividad.

19 Etapas de la metodología de ASC
Planeación de la Auditoria de Sistemas Computacionales. Ejecución de la Auditoria de Sistemas Computacionales. Dictamen de la Auditoria de Sistemas Computacionales.

20 1. Planeación de la Auditoria de Sistemas Computacionales
El primer paso para realizar una auditoría en sistemas computacionales es definir las actividades necesarias para su ejecución, lo cual se logrará mediante una adecuada planeación de éstas. Esta fase de planeación culmina con la elaboración formal de planes, programas y presupuestos en documentos que sirven para consulta y control de las actividades de revisión.

21 1. Planeación de la Auditoria de Sistemas Computacionales
Se debe iniciar con el planteamiento de las siguientes interrogantes: ¿Porqué se realizará la auditoría? ¿Se debe hacer una visita preliminar al área de sistemas? ¿Cuál es el objetivo que se pretende alcanzar con esta auditoría?

22 1. Planeación de la Auditoria de Sistemas Computacionales
P.1 Identificar el origen de la auditoría. P.2 Realizar una visita preliminar al área que será evaluada. P.3 Establecer los objetivos de la auditoría. P.4 Determinar los puntos que serán evaluados en la auditoría. P.5 Elaborar planes, programas y presupuestos para realizar la auditoría. P.6 Identificar y seleccionar los métodos, procedimientos, instrumentos y herramientas necesarias para la auditoría. P.7 Asignar los recursos y sistemas computacionales para la auditoría.

23 2. Ejecución de la Auditoria de Sistemas Computacionales
Esta determinada por las características concretas, los puntos y requerimientos que se estimaron en la etapa de planeación. Se debe aplicar de acuerdo con la planeación de la auditoría y de acuerdo a las características específicas de la auditoría que se trate.

24 2. Ejecución de la Auditoria de Sistemas Computacionales
E.1 Realizar las acciones programadas para la auditoría. E.2 Aplicar los instrumentos y herramientas para la auditoría. E.3 Identificar y elaborar los documentos de desviaciones encontradas. E.4 Elaborar el dictamen preliminar y presentarlo a discusión. E.5 Integrar el legado de papeles de trabajo de la

25 3. Dictamen de la Auditoria de Sistemas Computacionales
D.1 Analizar la información y elaborar un informe de situaciones detectadas. El propósito es que el auditor elabore su borrador y comente las desviaciones con los auditados. . Después, debe elaborar las modificaciones pertinentes. D.2 Elaborar el dictamen final. Se presenta a los directivos del área auditada. D.3 Presentar el informe de auditoría. Se presenta al más alto directivo de la empresa. En medio de una reunión directiva.

26 3. Dictamen de la Auditoria de Sistemas Computacionales
D.1 Analizar la información y elaborar un informe de situaciones detectadas. D.1.1 Analizar los papeles de trabajo. D.1.2 Señalar las situaciones encontradas. D.1.3 Comentar las situaciones encontradas con el personal de las áreas. D.1.4 Realizar las modificaciones necesarias. D.1.5 Elaborar un documento de situaciones relevantes.

27 3. Dictamen de la Auditoria de Sistemas Computacionales
D.2 Elaborar el dictamen final. D.2.1 Analizar la información y elaborar un documento de desviaciones detectadas. D.2.2 Elaborar el informe y el dictamen formales. D.2.3 Comentar el informe y el dictamen con los directivos del área. D.2.4 Realizar las modificaciones necesarias.

28 3. Dictamen de la Auditoria de Sistemas Computacionales
D.3 Presentar el informe de auditoría. D.3.1 Elaboración del dictamen formal. D.3.2 Integración del informe de auditoría. D.3.3 Presentación del informe de auditoría. D.3.4 Integración de los papeles de trabajo.

29 Propuesta de papeles de trabajo para la ASC
Hoja de identificación Ïndice de contenidos de los papeles de trabajo Dictamen preliminar (borrador) Resumen de desviaciones detectadas (las más importantes) Situaciones encontradas (situaciones, causas y soluciones) Programa de trabajo de auditoría Guía de auditoría

30 Propuesta de papeles de trabajo para la ASC
Inventario de SW Inventario de HW Inventario de consumibles Manual de organización Descripción de puestos Reportes de pruebas y resultados Respaldos (backups) de datos, disquets y programas de aplicación de auditoría Respaldos (backups) de las BD y de los sistemas

31 Propuesta de papeles de trabajo para la ASC
Guías de claves para el señalamiento de los papeles de trabajo Cuadros y estadísticas concentradores de información Anexos de recopilación de información Diagramas de flujo, de programación y de desarrollo de sistemas Testimoniales, actas y documentos legales de comprobación y confirmación Análisis y estadísticas de resultados, datos y pruebas de comportamiento del sistema. Otros documentos de apoyo para el auditor

32 Propuesta de puntos que se deben evaluar en una ASC
Auditoría con la computadora Auditoría sin la computadora Auditoría a la gestión informática del área de sistemas Auditoría al sistema computacional Auditoría alrededor de la computadora Auditoría de la seguridad de los sistemas computacionales Auditoría a los sistemas de redes Auditoría outsourcing en los sistemas computacionales Auditoría ISO 9000 a los sistemas computacionales Auditoría ergonómica de los sistemas de cómputo Auditoría integral a los centros de computo

33 Planeación de la ASC Para hacer una adecuada planeación de la ASC hay que seguir una serie de pasos previos que permitan dimensionar el tamaño y características del área dentro del organismo a auditar, sus sistemas, organización y equipos. La planeación permite determinar: Personal (número y características). Herramientas necesarias. Tiempo y costo. Definir el alcance y los objetivos. Poder elaborar el contrato de servicios.

34 Planeación de la ASC Eje 1: Propuesta de servicios para ASC
ANTECEDENTES OBJETIVOS DE LA AUDITORÍA INFORMÁTICA ALCANCES DEL PROYECTO METODOLOGÍA TIEMPO Y COSTO

35 Planeación de la ASC Eje 2: Propuesta de contrato de ASC
QUIENES CELEBRAN QUÉ DECLARAN CUÁLES SON LAS CLÁUSULAS Primera. Objeto Segunda. Alcance del trabajo Tercera. Programa de trabajo Cuarta. Honorarios. Quinta. Plazo del trabajo Sexta. Jurisdicción, etc

36 Planeación de la ASC Una inadecuada planeación provocará una serie de problemas que pueden impedir que se cumpla con la auditoría ó bien hacer que NO se cumpla con profesionalismo. El trabajo de Auditor Informático deberá incluir: La planeación de la ASC. El examen y la evaluación de la información. La comunicación de los resultados. El seguimiento.

37 Documentación de la planeación
El establecimiento de los objetivos y el alcance del trabajo. La obtención de información de apoyo sobre las actividades que se auditarán. La determinación de los recursos necesarios para realizar la auditoría. El establecimiento de la comunicación necesaria con todos los que estarán involucrados en la auditoría.

38 Documentación de la planeación
Realizar una inspección física para familiarizarse con las actividades y controles a auditar. La preparación por escrito del programa de auditoría. La determinación de cómo, cuando y a quién se le comunicaran los resultados de la auditoría. La obtención de la aprobación del plan de trabajo de la auditoría.

39 Consideraciones importantes para la planeación
Para lograr una adecuada planeación, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Realizar una investigación preliminar y algunas entrevistas previas. En base a lo anterior, planear el programa de trabajo, el cual deberá incluir: tiempos, costos personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la auditoría.

40 Revisión preliminar - informal
Objetivo.- Es el de obtener la información necesaria para que el auditor pueda tomar la decisión de cómo proceder en la auditoría. Significa la recolección de evidencias por medio de entrevistas con el personal de la instalación, la observación de las actividades en la instalación y la revisión de la documentación preliminar.

41 Revisión preliminar - informal
Las evidencias se pueden recolectar por medio de cuestionarios iniciales, o bien por medio de entrevistas, o con documentación narrativa. Debemos considerar que está será sólo una información inicial que nos permitirá elaborar el plan de trabajo, la cual se profundizará en el desarrollo de la auditoría.

42 Taller y trabajo FINAL Ejecutar la metodología adecuada para la realización de la Auditoria de sistemas computacionales de una empresa real, la misma que por cuestiones didácticas debe ser aplicable de evaluar la auditoría de sistemas computacionales. Los pasos para la misma se reflejarán en la wiki de Auditoria Informática

Descargar ppt "Ing. John Toasa Espinoza"

Presentaciones similares

PROCEDIMIENTO AUDITORIAS INTERNAS.

PROCEDIMIENTO AUDITORIAS INTERNAS.
REQUISITOS GENERALES PARA LA COMPETENCIA DE LOS LABORATORIOS DE ENSAYO Y DE CALIBRACION NTG ISO/IEC 17025:2005 CURSO AUDITORES INTERNOS RELABSA UVG MAYO.

REQUISITOS GENERALES PARA LA COMPETENCIA DE LOS LABORATORIOS DE ENSAYO Y DE CALIBRACION NTG ISO/IEC 17025:2005 CURSO AUDITORES INTERNOS RELABSA UVG MAYO.
Planeación de la Auditoría

Planeación de la Auditoría
Auditorías - ISO 10011 Fecha: 02.05.2001 Jornada UNED.

Auditorías - ISO Fecha: Jornada UNED.
Ingeniería de Software II

Ingeniería de Software II
Metodología de la Investigación Social

Metodología de la Investigación Social
Metodología para el Desarrollo de Estudios Organizacionales

Metodología para el Desarrollo de Estudios Organizacionales
AUDITORIA DE SISTEMAS.

AUDITORIA DE SISTEMAS.
UNIDAD III: Semana No. 23 MARCO METODOLÓGICO

UNIDAD III: Semana No. 23 MARCO METODOLÓGICO
METODOLOGIA PARA EVALUAR UNA APLICACIÓN EN FUNCIONAMIENTO

METODOLOGIA PARA EVALUAR UNA APLICACIÓN EN FUNCIONAMIENTO
Elaboración de Planes de trabajos para Proyectos Informáticos

Elaboración de Planes de trabajos para Proyectos Informáticos
Etapas de una Auditoria

Etapas de una Auditoria
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
PLAN DE INVESTIGACIÓN.

PLAN DE INVESTIGACIÓN.
Taller de elaboración de Planes de calidad

Taller de elaboración de Planes de calidad
REQUISTOS DE LA CERTIFICACIÓN.

REQUISTOS DE LA CERTIFICACIÓN.
CURSO DE PROFUNDIZACIÓN EN GERENCIA ESTRATÉGICA RESPONSABLE

CURSO DE PROFUNDIZACIÓN EN GERENCIA ESTRATÉGICA RESPONSABLE
AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS

AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS
NORMA INTERNACIONAL DE AUDITORÍA 300

NORMA INTERNACIONAL DE AUDITORÍA 300
AUDITAR LA FORMACIÓN CONTINUADA EN EL SNS Málaga, 16 de junio de 2010 Montserrat Castejón Casado VII Congreso Nacional de F.C.

AUDITAR LA FORMACIÓN CONTINUADA EN EL SNS Málaga, 16 de junio de 2010 Montserrat Castejón Casado VII Congreso Nacional de F.C.

Presentaciones similares

Anuncios Google