La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Ing. Juan Manuel Lemus Ponciano Libro Texto: Auditoría en Informática Autor: Echenique García, José Antonio U.M.G, Segundo Semestre 2013.

Presentaciones similares


Presentación del tema: "Ing. Juan Manuel Lemus Ponciano Libro Texto: Auditoría en Informática Autor: Echenique García, José Antonio U.M.G, Segundo Semestre 2013."— Transcripción de la presentación:

1 Ing. Juan Manuel Lemus Ponciano Libro Texto: Auditoría en Informática Autor: Echenique García, José Antonio U.M.G, Segundo Semestre 2013

2 Caso para análisis: El día anterior al cierre del mes, se presentó una incidencia en la División de Informática: Uno de los equipos de comunicación E1, instalado por el proveedor de acceso a internet, falló en forma inesperada, por lo que se perdió la conectividad de los clientes al sitio Web de la empresa, durante 4 horas, hasta que se pudo obtener el soporte del mismo. Al revisar el equipo, se encontró que los componentes electrónicos se dañaron por la falla del fusible de un UPS que había sido reportado como dañado 15 días antes. Al revisar en bodega, se tenía existencia de dicho fusible. Al consultar al personal técnico, informaron que por tratarse de equipos externos, no tenían autorización para acceder o manipular el mismo, por lo que se limitaron a reportarlo. Adicionalmente, por norma de la empresa, si un equipo no está registrado en el inventario, no puede comprársele ningún tipo de repuesto o aplicarle servicio. Se le solicita: Explique 3 implicaciones de tener equipo ajeno a la empresa en la misma. Los técnicos que analizaron el equipo, procedieron adecuadamente? Por Qué? Proponga 2 probables mejoras para reducir o mitigar los efectos de este tipo de falla en la empresa.

3

4 INTRODUCCIÓN En el registro formal de datos, surgen las interrogantes: a) En dónde, cómo y para qué concentrar los datos que se obtienen en la auditoría de sistemas? b) Los datos recopilados sirven para fundamentar las observaciones y para emitir un dictamen? c) En dónde, cuándo y para qué se registra la información que se obtiene en la auditoría? d) Qué medios se utilizan para concentrar, validar, tabular e interpretar los datos obtenidos?

5 INTRODUCCIÓN, cont. e) Quién es el responsable de registrar, concentrar y controlar la información recopilada durante la auditoría? f) En donde, cuándo, por qué y cómo se registra la información documental, la emitida por el sistema computacional y la recopilada directamente en el campo? g) Qué tan válido es guardar la información recopilada del sistema computacional en medios electromagnéticos?

6 DEFINICIÓN Conjunto de cédulas y documentación fehaciente que contiene los datos e información por el auditor en su examen, así como la descripción de las pruebas realizadas, las cuales sustenta para emitir un informe.

7 OBJETIVOS E IMPORTANCIA Respaldo y fundamento de: Dictamen Carta de observaciones Información Posterior Autoridades fiscales Autoridades Judiciales Otros auditores Al cliente o entidad

8 OBJETIVOS E IMPORTANCIA EVIDENCIA COMPROBAR LA CALIDAD GUIA

9 PRINCIPIOS Claridad Exactitud Significancia en los datos Comprobación de la información Legibilidad Organización

10 REQUISITOS Nombre de la empresa a que se refieran Fecha de realización Título o descripción breve de su contenido Nombre del evaluador Fuentes o documentos objeto de evaluación de los datos Descripción del contendido Resultados obtenidos o conclusiones

11 DEBEN CONTENER: Hoja de identificación. Índice de contenido de los papeles de trabajo. Dictamen preliminar (borrador) Resumen de desviaciones encontradas (Las más importantes). Situaciones encontradas (situaciones, causas y soluciones) Programa de trabajo de auditoria. Guía de la auditoria. Inventarios: Hardware, software, periféricos, instalaciones, mobiliario, según sea aplicable. Manual de organización. Descripción de puestos.

12 DEBEN CONTENER: cont. Reporte de pruebas y resultados. Respaldos (backups) de datos y programas de aplicación de la auditoría. Respaldos de las bases de datos y los sistemas. Guías de claves para señalamiento de papeles de trabajo. Cuadros y estadísticas concentradores de información. Anexos de recopilación de información. Diagramas de flujo, de programación y de desarrollo de sistemas. Testimoniales, actas y documentos legales de comprobación y confirmación. Análisis y estadísticas de resultados, datos y pruebas de comportamiento del sistema. Otros documentos de apoyo.

13 NO DEBEN CONTENER: NO SER COPIA DE LA CONTABILIDAD DE LA EMPRESA NO SER LA COPIA DE LOS ESTADOS FINANCIEROS NO SER COPIA DE LA AUDITORIA DEL AÑO PASADO

14 CLASIFICACIÓN Por su uso Continuo Temporal Por su Contenido Hojas de trabajo Cédulas Sumarias Relaciones de Cuentas Cédulas de detalle o analítica

15 Manejo de los papeles de Trabajo Marcas Índices Asientos de Ajustes Reclasificación

16 Consideraciones Control Confidencialidad Propiedad

17 Procesamientos Electrónico de Datos Conocimiento Utilización Apoyo Complejidad

18 CEDULA DE ANÁLISIS DE NOMBRE DE LA EMPRESA Fecha de Realización Hora de Inicio Nombre del Evaluador Area Evaluada: Documento Evaluado: ¥ DOCUMENTO QUE SE ANALIZAN: Nombre : Objetivo: Lugar de aplicación: Responsable del Documento: Responsable de Realización: RESULTADO DEL ANÁLISIS: DESCRIPCIÓN DEL CONTENIDO: Accesos a Internet Rutas de acceso (Niveles de restricción) Claves de acceso (procedimientos de alta, bajas, reportes) Software de seguridad

19

20 Instrumentos de recopilación de Información aplicables en la A.S. Cuestionarios. Preguntas abiertas. Preguntas cerradas. Preguntas dicotómicas. Preguntas tricotómicas. De opción múltiple De opción de rangos o grupos. Gradación (Preguntas de grados opuestos) Preguntas testigo. Preguntas Matriz.

21 Instrumentos de recopilación de Información aplicables en la A.S. Entrevistas Ciclo de la entrevista de auditoría. Tipos de entrevistas para una auditoria. Entrevistas libres. Entrevistas dirigidas. Entrevistas de exploración. Entrevistas de comprobación. Entrevistas de información. Entrevistas Informales. Tipos de preguntas para en trevistas. Abiertas. Cerradas. Sondeo Cierre Mixtas

22 Instrumentos de recopilación de Información aplicables en la A.S. Formas de realizar las entrevistas. Entrevistas tipo embudo. De lo general a lo concreto. Entrevistas tipo pirámide. De lo Cerrado a lo General. Entrevistas tipo diamante. Entrevistas tipo reloj de arena. Formas de recopilar la información en las entrevistas. Entrevistas grabadas. Tomar notas Captar lo esencial sin notas. Otras formas ( De segunda mano, ocultas, disfrazadas)

23 Instrumentos de recopilación de Información aplicables en la A.S. Ventajas de los cuestionarios. Facilitan la recopilación de la información y no necesitan muchas explicaciones ni una gran preparación para aplicarlos. Permiten rápida tabulación e interpretación de los datos, con la confiabilidad requerida. Evitan la dispersión de la información, al centrarse en preguntas de elección forzosa. Rápidos de aplicar, recopilan mucha información en poco tiempo. Fácil de capturar, concentrar y obtener información útil usando la computador. Hacer impersonal la aportación de respuestas.

24 Instrumentos de recopilación de Información aplicables en la A.S. Desventajas de los cuestionarios. Falta de profundidad de las respuestas. Se necesita buena elección del universo y las muestras utilizadas. Puede provocar la obtención de datos equivocados si se formulan mal las preguntas. La Interpretación y el análisis puede ser muy simple, si no se recopilan todos los puntos requeridos. Limitan la participación del auditado, si éste puede evadir preguntas importantes. Hace impersonal la participación del personal auditado. Si no está bien hecho, denota falta de experiencia y pocos conocimientos del auditor.

25 CEDULA DE ANALISIS DE SEGURIDAD LÓGICA

26

27 CEDULA DE ANALISIS DE SEGURIDAD FISICA

28 CEDULA DE ANALISIS DEL PERSONAL

29 CEDULA DE ENTREVISTA

30 GUIA DE LA ENTREVISTA Aspectos generales para todas las entrevistas Persona evaluada Nombre de puesto Puesto del jefe inmediato Puesto a los que reporta Puestos de las personas que reportan al entrevistado Número de personas Descripción de actividades diarias del puesto Actividades Periódicas Actividades Eventuales ¿Con qué manuales cuenta para el desempeño de su puesto? ¿Cuáles políticas se tienen establecidas para el puesto? Señale alguna laguna en cuanto a su organización, puesto, o procesos que realice: ¿Considera que tiene cargas en su trabajo? ¿Cómo las maneja o controla? ¿Con que frecuencia recibe capacitación y de que tipo? ¿Cómo considera el ambiente de trabajo?

31 Específicos para seguridad lógica ¿Hay controles establecidos para el seguimiento de los procedimientos que realiza? ¿Quién los define? ¿Están en funcionamiento? ¿Se actualizan? ¿Qué tipo de controles existen en su área? ¿Es necesario modificarlos para que funcionen mejor? ¿Hacen falta mas controles en su área? ¿Con qué frecuencia hay desviaciones? ¿Si existen desviaciones, se informan a los niveles? ¿Se toman las acciones correctivas si existen desviaciones? ¿Se revisan periódicamente los elementos del control interno? ¿La empresa cuenta con un manual general de sistemas y procedimientos? ¿Se actualizan periódicamente los manuales? ¿Existen sistemas y procedimientos formales y documentados para el control de su área por aplicaciones? ¿Están actualizados? ¿Son adecuados y suficientes? ¿Se han elaborado sistemas y procedimientos en su área? ¿Se dispone de infraestructura para el desarrollo de sistemas y procedimientos en su área? ¿Conoce los sistemas y procedimientos a realizar en su área? ¿Cómo se les da a conocer? ¿Existen sistemas y procedimientos o sistemas automatizados? ¿Cuáles son? ¿Se ajustan el registro y control de los sistemas y procedimientos a las necesidades de la empresa?

32 Específicos para seguridad física ¿Existe algún procedimiento para autorización de ingreso de personas externas (de otra área o empresas)? ¿Formas de autenticación que validan el ingreso? ¿Quiénes autorizan el ingreso al centro de cómputo? ¿Quiénes solicitan el ingreso? ¿Con cuanto tiempo de anticipación se solicita el ingreso de externos (de área o empresas) al centro? ¿Se tiene algún formulario para la dicha solicitud? ¿Si no existe formulario de qué manera se hace la solicitud? ¿Qué datos se necesitan para la autorización del ingreso? ¿Existe una bitácora de registro de los visitantes? ¿Hay algún procedimiento de revisión de bitácoras? ¿De ser afirmativo quienes lo revisan? ¿Hay procedimiento que constata la salida del visitante? ¿Existe algún procedimiento para autorización de ingreso de equipo al centro de cómputo? Describa el procedimiento brevemente? ¿Existe algún procedimiento para autorización de egreso de equipo? ¿Describa el procedimiento brevemente?

33 De el personal ¿Existen políticas para contratación de familiares dentro del centro de cómputo? ¿Cuál es el nivel de escolaridad mínima requerida para contratación? ¿Cualidades requeridas del personal a contratar? ¿Existe un procedimiento definido para el requerimiento de personal? ¿Si la respuesta es si descríbalo brevemente? ¿Se realizan evaluaciones de desempeño? ¿Con qué periodicidad? ¿Quién las realiza? ¿Criterios relevantes de la evaluación?

34 Aplicación

35

36

37

38

39 INTRODUCCIÓN La descentralización de los equipos de cómputo y la centralización de la información. Auditoría a los procesos que involucran tecnología de información. El Informe de Auditoría es el producto final y el exponente de calidad del trabajo de auditoría. En el informe de auditoría solamente se deben anotar las observaciones objetivas e importantes.

40 PROCEDIMIENTO PARA ELABORAR EL INFORME DE AUDITORIA DE SISTEMAS

41 Aplicar instrumentos de recopilación Registrar las desviaciones halladas durante la revisión en el formato de situaciones encontradas Comentar las situaciones encontradas con los auditados Encontrar las causas de las desviaciones y sus posibles soluciones con los auditados Analizar, depurar y corregir las desviaciones encontradas Jerarquizar las desviaciones encontradas más relevantes situaciones relevantes Comentar situaciones relevantes con los directivos confirmando las causas y soluciones Concentrar, depurar y elaborar el informe final y el dictamen del auditor Presentación del informe y dictamen final a los directivos de la empresa

42 CARACTERÍSTICAS DEL INFORME DE AUDITORIA DE SISTEMAS Características de fondo Características de forma

43 Características de la presentación del informe Claridad Confiabilidad Propiedad Concisión Sencillez Acertividad Ilación Tono y fuerza Sintaxis Oportunidad Precisión Exactitud Imparcialidad Objetividad Congruencia Familiaridad Veracidad Efectividad

44 Estructura del informe de auditoria de sistemas computacionales Oficio de Presentación Introducción Dictamen de la Auditoria Situaciones Relevantes Situaciones Encontradas Anexos Confirmaciones en Papeles de Trabajo

45 TIPOS DE DICTAMEN Existen cuatro tipos de Dictamen en auditoría: A. DICTAMEN FAVORABLE. B. DICTAMEN CON SALVEDADES. C. DICTAMEN DESFAVORABLE. D. DICTAMEN DENEGADA.

46 DICTAMEN FAVORABLE Una Dictamen favorable, limpia, positiva o sin salvedades, expresa que el auditor ha quedado satisfecho, en todos los aspectos importantes, de que los estados financieros objeto de la auditoría reúnen los requisitos necesarios.

47 DICTAMEN CON SALVEDADES Este tipo de Dictamen es aplicable cuando el auditor concluye que existen una o varias circunstancias en relación con las cuentas anuales tomadas en su conjunto, que pudieran ser significativas.

48 DICTAMEN CON SALVEDADES Las distintas circunstancias que pueden originar una Dictamen con salvedades son: Limitaciones al alcance Incertidumbres Errores o incumplimientos de los principios y normas contables generalmente aceptados

49 DICTAMEN DESFAVORABLE Una Dictamen desfavorable supone manifestarse en el sentido de que las cuentas anuales tomadas en su conjunto no presentan la imagen fiel del patrimonio, de la situación financiera, del resultado de las operaciones o de los cambios en la situación financiera de la entidad auditada, de conformidad con los principios y normas generalmente aceptados.

50 DICTAMEN DENEGADO Tambien llamado Abstencion de Dictamen Cuando el auditor no ha obtenido la evidencia necesaria para formarse una Dictamen sobre las cuentas anuales tomadas en su conjunto, debe manifestar en su informe que no le es posible expresar una Dictamen sobre las mismas. La necesidad de denegar la Dictamen puede originarse exclusivamente por: - Limitaciones al alcance de auditoría y/o - Incertidumbres.

51 APLICACION

52 DICTAMEN SITUACIONES ENCONTRADAS SITUACIONES RELEVANTES

53 CONCLUSIONES El auditor informático ha de velar por la correcta utilización de los recursos de T.I. Para la realización de una auditoría informática eficaz, se debe entender a la empresa en su más amplio sentido. Para poder evaluar un sistema de cómputo hay que conocerlo desde el inicio hasta el final. El párrafo de opinión debe de mostrar claramente el juicio final del auditor.

54 RECOMENDACIONES Contar en todo momento, con el apoyo de la gerencia o el alto mando. El párrafo introductorio debe contener un amplio resumen de la auditoría, y un enfoque a las personas responsables en la organización. El informe de auditoría solamente debe contener hechos importantes. Los hechos encontrados por el auditor implican la existencia de debilidades que deben ser corregidas.


Descargar ppt "Ing. Juan Manuel Lemus Ponciano Libro Texto: Auditoría en Informática Autor: Echenique García, José Antonio U.M.G, Segundo Semestre 2013."

Presentaciones similares


Anuncios Google