Auditoria de Sistemas Ing. Juan Manuel Lemus Ponciano

Slides:



Advertisements
Presentaciones similares
PROCEDIMIENTO AUDITORIAS INTERNAS.
Advertisements

Planeación de la Auditoría
SEMINARIO DE AUDITORÍA INTEGRAL
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
TEMA 3: EL RIESGO Y LA EVIDENCIA
SENA: CONOCIMIENTO PARA TODOS LOS COLOMBIANOS
PROGRAMAS DE AUDITORIA
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
AUDITORIA DE LA EXPLOTACIÓN
Granada, 19 de mayo de 2006 Antonio Benavides Vico
Sistemas de Calidad / ISO 9001:2000
Planeación de la Auditoría en Informática
AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS
AUDITORIA DE SISTEMAS Conceptos introductorios
INGENIERIA DE REQUERIMIENTOS
AUDITORIA INTERNA.
OBJETIVO Definir los aspectos que los auditores deben tener en cuenta antes, durante y después de los ciclos de auditorías para sacar mayor provecho a.
LAS NORMAS TÉCNICAS DE AUDITORÍA
EL INFORME DE AUDITORÍA TEMA 5
CONCLUSIÓN DE LA AUDITORÍA
NIA 705 OPINIÓN MODIFICADA EXPOSITOR L.C. EDUARDO M. ENRÍQUEZ G.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
 1) Soporta las opiniones y conclusiones expuestas en el informe.   2) Acumulación de conocimiento del cliente   3) Fácil transición en caso de realizar.
Taller Examen de Título
DICTAMEN E INFORME ADICIONAL DE RECOMENDACIONES
AUDITORIA FINANCIERA FREDIS JOSE ARRIETA BARROSO UNIVERDSIDAD DE CORDOBA UNIDAD DE APRENDIZAJE II 2008.
INFORME DEL AUDITOR Lcda. Yovana Márquez.
MESA 3 Evaluación, seguimiento y mejora, auditorias internas y Revisión por la dirección Requisitos P
Técnicas de Relevamiento de Información
ESTADOS FINANCIEROS PAOLA LOPEZ LOPEZ.
PPT ¨INFORME DE AUDITORIA FORENSE¨ Estudiante
AUDITORÍAS INTERNAS A SISTEMAS DE GESTIÓN
REVISIÓN DE ESTADOS FINANCIEROS (BOLETÍN 9010)
Auditoria de Sistemas Ing. En Sist. Héctor Samuel Recinos Agustín.
Diagnóstico de Necesidades de Capacitación
Papeles de trabajo para la auditoria de sistemas computacionales
PAPELES DE TRABAJO DEL REVISOR FISCAL
AUDITORIAS DE SEGURIDAD
Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar.
PLANEACION DE UNA AUDITORIA FINANCIERA
¿QUE ES AUDITORIA ? ES UN EXAMEN SISTEMATICO DE LOS ESTADOS FINANCIEROS, SUS REGISTROS CONTABLES Y OPERACIONES RELACIONADAS CON ELLAS. ADEMAS EVALUA LA.
Evaluacion externa La experiencia de una agencia de acreditación María José Lemaitre Agosto 2007.
DOCUMENTACIÓN DEL SISTEMA DE GESTIÓN DE LA CALIDAD
FUNDAMENTOS DE MARKETING
AUDITORIA NIA 500 “EVIDENCIA DE AUDITORIA”
SGSI: Sistemas de Gestión de la Seguridad de la Información
Fundamentos de Auditoria
UNIDAD DE TRABAJO 6 LOS PAPELES DE TRABAJO. Norma 4 Documentación del trabajo El auditor debe guardar las pruebas evidentes de lo realizado, como medio.
ANALASIS ESTRATEGICO Y DE PROCESOS
IDENTIFICACIÓN DE LOS ELEMENTOS DE LA AUDITORIA..
NORMA INTERNACIONAL DE AUDITORIA 230
Unidad 4: Estándares de documentación
...Auditorias de sistemas de administración bajo ISO 19011: "
Auditoria financiera CONDORI LUCIA CCAHUANA CORDOVA, LEYDI
REVISION Y AUDITORIA.
Auditoría de Sistemas.
NORMA INTERNACIONAL DE AUDITORÍA 210 ACUERDO DE LOS TÉRMINOS DE LOS TRABAJOS DE AUDITORÍA EXPOSITOR L.C. EDUARDO M. ENRÍQUEZ G. 1.
EXPOSITOR L.C. EDUARDO M. ENRÍQUEZ G.
EXPOSITOR L.C. EDUARDO M. ENRÍQUEZ G.
NORMA INTERNACIONAL DE AUDITORÍA PROFESOR HELIO FABIO RAMIREZ
EI, Profesor Ramón Castro Liceaga IV. AREAS DE EVALUACIÓN DE LA AUDITORIA EN INFORMÁTICA. UNIVERSIDAD LATINA (UNILA)
VII. INFORME DE AUDITORÍA.
VI. EVALUACIÓN DE LOS RECURSOS
SISTEMA DE GESTIÓN DE LA CALIDAD ISO 9001: AUDITORÍA INTERNA
PROGRAMA EDUCATIVO INFORMÁTICA ADMINISTRATIVA UNIDAD DE APRENDIZAJE: AUDITORÍA INFORMÁTICA UNIDAD DE COMPETENCIA II.II NOMBRE DEL MATERIAL: ELABORACION.
Ingeniería del Software
OFICINA DE CONTROL INTERNO AUDITORIA INTERNA DE CALIDAD ALCALDÍA DE PASTO.
Fundamentos de Auditoria PRIMERA NORMA DE AUDITORIA RELATIVA AL TRABAJO.
La evidencia y los papeles de trabajo constituyen el soporte fundamental de los hallazgos detectados por el auditor, de ahí la importancia que.
REPÚBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA LA DEFENSA UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA DE LA FUERZA ARMADA NACIONAL.
Transcripción de la presentación:

Auditoria de Sistemas Ing. Juan Manuel Lemus Ponciano Libro Texto: Auditoría en Informática Autor: Echenique García, José Antonio U.M.G, Segundo Semestre 2013

Caso para análisis: El día anterior al cierre del mes, se presentó una incidencia en la División de Informática: Uno de los equipos de comunicación E1, instalado por el proveedor de acceso a internet, falló en forma inesperada, por lo que se perdió la conectividad de los clientes al sitio Web de la empresa, durante 4 horas, hasta que se pudo obtener el soporte del mismo. Al revisar el equipo, se encontró que los componentes electrónicos se dañaron por la falla del fusible de un UPS que había sido reportado como dañado 15 días antes. Al revisar en bodega, se tenía existencia de dicho fusible. Al consultar al personal técnico, informaron que por tratarse de equipos externos, no tenían autorización para acceder o manipular el mismo, por lo que se limitaron a reportarlo. Adicionalmente, por norma de la empresa, si un equipo no está registrado en el inventario, no puede comprársele ningún tipo de repuesto o aplicarle servicio. Se le solicita: Explique 3 implicaciones de tener equipo ajeno a la empresa en la misma. Los técnicos que analizaron el equipo, procedieron adecuadamente? Por Qué? Proponga 2 probables mejoras para reducir o mitigar los efectos de este tipo de falla en la empresa.

PAPELES DE TRABAJO

INTRODUCCIÓN En el registro formal de datos, surgen las interrogantes: En dónde, cómo y para qué concentrar los datos que se obtienen en la auditoría de sistemas? Los datos recopilados sirven para fundamentar las observaciones y para emitir un dictamen? En dónde, cuándo y para qué se registra la información que se obtiene en la auditoría? Qué medios se utilizan para concentrar, validar, tabular e interpretar los datos obtenidos?

INTRODUCCIÓN, cont. e) Quién es el responsable de registrar, concentrar y controlar la información recopilada durante la auditoría? f) En donde, cuándo, por qué y cómo se registra la información documental, la emitida por el sistema computacional y la recopilada directamente en el campo? g) Qué tan válido es guardar la información recopilada del sistema computacional en medios electromagnéticos?

DEFINICIÓN Conjunto de cédulas y documentación fehaciente que contiene los datos e información por el auditor en su examen, así como la descripción de las pruebas realizadas, las cuales sustenta para emitir un informe.

OBJETIVOS E IMPORTANCIA Respaldo y fundamento de: Dictamen Carta de observaciones Información Posterior Autoridades fiscales Autoridades Judiciales Otros auditores Al cliente o entidad

OBJETIVOS E IMPORTANCIA EVIDENCIA COMPROBAR LA CALIDAD GUIA

PRINCIPIOS Claridad Exactitud Significancia en los datos Comprobación de la información Legibilidad Organización

REQUISITOS Nombre de la empresa a que se refieran Fecha de realización Título o descripción breve de su contenido Nombre del evaluador Fuentes o documentos objeto de evaluación de los datos Descripción del contendido Resultados obtenidos o conclusiones

DEBEN CONTENER: Hoja de identificación. Índice de contenido de los papeles de trabajo. Dictamen preliminar (borrador) Resumen de desviaciones encontradas (Las más importantes). Situaciones encontradas (situaciones, causas y soluciones) Programa de trabajo de auditoria. Guía de la auditoria. Inventarios: Hardware, software, periféricos, instalaciones, mobiliario, según sea aplicable. Manual de organización. Descripción de puestos.

DEBEN CONTENER: cont. Reporte de pruebas y resultados. Respaldos (backups) de datos y programas de aplicación de la auditoría. Respaldos de las bases de datos y los sistemas. Guías de claves para señalamiento de papeles de trabajo. Cuadros y estadísticas concentradores de información. Anexos de recopilación de información. Diagramas de flujo, de programación y de desarrollo de sistemas. Testimoniales, actas y documentos legales de comprobación y confirmación. Análisis y estadísticas de resultados, datos y pruebas de comportamiento del sistema. Otros documentos de apoyo.

NO DEBEN CONTENER: NO SER COPIA DE LA CONTABILIDAD DE LA EMPRESA NO SER LA COPIA DE LOS ESTADOS FINANCIEROS NO SER COPIA DE LA AUDITORIA DEL AÑO PASADO

CLASIFICACIÓN Por su uso Por su Contenido Continuo Temporal Hojas de trabajo Cédulas Sumarias Relaciones de Cuentas Cédulas de detalle o analítica

Manejo de los papeles de Trabajo Marcas Índices Asientos de Ajustes Reclasificación

Consideraciones Control Confidencialidad Propiedad

Procesamientos Electrónico de Datos Conocimiento Utilización Apoyo Complejidad

CEDULA DE ANÁLISIS DE NOMBRE DE LA EMPRESA Fecha de Realización   Hora de Inicio Nombre del Evaluador Area Evaluada: Documento Evaluado: ¥ DOCUMENTO QUE SE ANALIZAN: Nombre : Objetivo: Lugar de aplicación: Responsable del Documento: Responsable de Realización:   DESCRIPCIÓN DEL CONTENIDO: Ø      Accesos a Internet Ø      Rutas de acceso (Niveles de restricción) Ø      Claves de acceso (procedimientos de alta, bajas, reportes) Ø      Software de seguridad   RESULTADO DEL ANÁLISIS:  

Instrumentos de recopilación de Información en la auditoría informática

Instrumentos de recopilación de Información aplicables en la A.S. Cuestionarios. Preguntas abiertas. Preguntas cerradas. Preguntas dicotómicas. Preguntas tricotómicas. De opción múltiple De opción de rangos o grupos. Gradación (Preguntas de grados opuestos) Preguntas testigo. Preguntas Matriz.

Instrumentos de recopilación de Información aplicables en la A.S. Entrevistas Ciclo de la entrevista de auditoría. Tipos de entrevistas para una auditoria. Entrevistas libres. Entrevistas dirigidas. Entrevistas de exploración. Entrevistas de comprobación. Entrevistas de información. Entrevistas Informales. Tipos de preguntas para en trevistas. Abiertas. Cerradas. Sondeo Cierre Mixtas

Instrumentos de recopilación de Información aplicables en la A.S. Formas de realizar las entrevistas. Entrevistas tipo embudo. De lo general a lo concreto. Entrevistas tipo pirámide. De lo Cerrado a lo General. Entrevistas tipo diamante. Entrevistas tipo reloj de arena. Formas de recopilar la información en las entrevistas. Entrevistas grabadas. Tomar notas Captar lo esencial sin notas. Otras formas ( De segunda mano, ocultas, disfrazadas)

Instrumentos de recopilación de Información aplicables en la A.S. Ventajas de los cuestionarios. Facilitan la recopilación de la información y no necesitan muchas explicaciones ni una gran preparación para aplicarlos. Permiten rápida tabulación e interpretación de los datos, con la confiabilidad requerida. Evitan la dispersión de la información, al centrarse en preguntas de elección forzosa. Rápidos de aplicar, recopilan mucha información en poco tiempo. Fácil de capturar, concentrar y obtener información útil usando la computador. Hacer impersonal la aportación de respuestas.

Instrumentos de recopilación de Información aplicables en la A.S. Desventajas de los cuestionarios. Falta de profundidad de las respuestas. Se necesita buena elección del universo y las muestras utilizadas. Puede provocar la obtención de datos equivocados si se formulan mal las preguntas. La Interpretación y el análisis puede ser muy simple, si no se recopilan todos los puntos requeridos. Limitan la participación del auditado, si éste puede evadir preguntas importantes. Hace impersonal la participación del personal auditado. Si no está bien hecho, denota falta de experiencia y pocos conocimientos del auditor.

CEDULA DE ANALISIS DE SEGURIDAD LÓGICA

Formularios y entrevistas en la auditoría informática

CEDULA DE ANALISIS DE SEGURIDAD FISICA

CEDULA DE ANALISIS DEL PERSONAL

CEDULA DE ENTREVISTA

GUIA DE LA ENTREVISTA Aspectos generales para todas las entrevistas Persona evaluada Nombre de puesto Puesto del jefe inmediato Puesto a los que reporta Puestos de las personas que reportan al entrevistado Número de personas Descripción de actividades diarias del puesto Actividades Periódicas Actividades Eventuales ¿Con qué manuales cuenta para el desempeño de su puesto? ¿Cuáles políticas se tienen establecidas para el puesto? Señale alguna laguna en cuanto a su organización, puesto, o procesos que realice: ¿Considera que tiene cargas en su trabajo? ¿Cómo las maneja o controla? ¿Con que frecuencia recibe capacitación y de que tipo? ¿Cómo considera el ambiente de trabajo?

Específicos para seguridad lógica ¿Hay controles establecidos para el seguimiento de los procedimientos que realiza? ¿Quién los define? ¿Están en funcionamiento? ¿Se actualizan? ¿Qué tipo de controles existen en su área? ¿Es necesario modificarlos para que funcionen mejor? ¿Hacen falta mas controles en su área? ¿Con qué frecuencia hay desviaciones? ¿Si existen desviaciones, se informan a los niveles? ¿Se toman las acciones correctivas si existen desviaciones? ¿Se revisan periódicamente los elementos del control interno? ¿La empresa cuenta con un manual general de sistemas y procedimientos? ¿Se actualizan periódicamente los manuales? ¿Existen sistemas y procedimientos formales y documentados para el control de su área por aplicaciones? ¿Están actualizados? ¿Son adecuados y suficientes? ¿Se han elaborado sistemas y procedimientos en su área? ¿Se dispone de infraestructura para el desarrollo de sistemas y procedimientos en su área? ¿Conoce los sistemas y procedimientos a realizar en su área? ¿Cómo se les da a conocer? ¿Existen sistemas y procedimientos o sistemas automatizados? ¿Cuáles son? ¿Se ajustan el registro y control de los sistemas y procedimientos a las necesidades de la empresa?

Específicos para seguridad física ¿Existe algún procedimiento para autorización de ingreso de personas externas (de otra área o empresas)? ¿Formas de autenticación que validan el ingreso? ¿Quiénes autorizan el ingreso al centro de cómputo? ¿Quiénes solicitan el ingreso? ¿Con cuanto tiempo de anticipación se solicita el ingreso de externos (de área o empresas) al centro? ¿Se tiene algún formulario para la dicha solicitud? ¿Si no existe formulario de qué manera se hace la solicitud? ¿Qué datos se necesitan para la autorización del ingreso? ¿Existe una bitácora de registro de los visitantes? ¿Hay algún procedimiento de revisión de bitácoras? ¿De ser afirmativo quienes lo revisan? ¿Hay procedimiento que constata la salida del visitante? ¿Existe algún procedimiento para autorización de ingreso de equipo al centro de cómputo? Describa el procedimiento brevemente? ¿Existe algún procedimiento para autorización de egreso de equipo? ¿Describa el procedimiento brevemente?

De el personal ¿Existen políticas para contratación de familiares dentro del centro de cómputo? ¿Cuál es el nivel de escolaridad mínima requerida para contratación? ¿Cualidades requeridas del personal a contratar? ¿Existe un procedimiento definido para el requerimiento de personal? ¿Si la respuesta es si descríbalo brevemente? ¿Se realizan evaluaciones de desempeño? ¿Con qué periodicidad? ¿Quién las realiza? ¿Criterios relevantes de la evaluación?

Aplicación

Aplicación

Aplicación

Aplicación

Presentación del informe de la auditoría informática

INTRODUCCIÓN La descentralización de los equipos de cómputo y la centralización de la información. Auditoría a los procesos que involucran tecnología de información. El Informe de Auditoría es el producto final y el exponente de calidad del trabajo de auditoría. En el informe de auditoría solamente se deben anotar las observaciones objetivas e importantes.

PROCEDIMIENTO PARA ELABORAR EL INFORME DE AUDITORIA DE SISTEMAS

Aplicar instrumentos de recopilación 1 Registrar las desviaciones halladas durante la revisión en el formato de situaciones encontradas 2 Comentar las situaciones encontradas con los auditados 3 Encontrar las causas de las desviaciones y sus posibles soluciones con los auditados 4 Analizar, depurar y corregir las desviaciones encontradas 5 Jerarquizar las desviaciones encontradas más relevantes situaciones relevantes 6 Comentar situaciones relevantes con los directivos confirmando las causas y soluciones 7 Concentrar, depurar y elaborar el informe final y el dictamen del auditor 8 Presentación del informe y dictamen final a los directivos de la empresa 9

CARACTERÍSTICAS DEL INFORME DE AUDITORIA DE SISTEMAS Características de fondo Características de forma

Características de la presentación del informe Claridad Confiabilidad Propiedad Concisión Sencillez Acertividad Ilación Tono y fuerza Sintaxis Oportunidad Precisión Exactitud Imparcialidad Objetividad Congruencia Familiaridad Veracidad Efectividad

Estructura del informe de auditoria de sistemas computacionales Oficio de Presentación Introducción Dictamen de la Auditoria Situaciones Encontradas Situaciones Relevantes Anexos Confirmaciones en Papeles de Trabajo

TIPOS DE DICTAMEN Existen cuatro tipos de Dictamen en auditoría: A. DICTAMEN FAVORABLE. B. DICTAMEN CON SALVEDADES. C. DICTAMEN DESFAVORABLE. D. DICTAMEN DENEGADA.

DICTAMEN FAVORABLE Una Dictamen favorable, limpia, positiva o sin salvedades, expresa que el auditor ha quedado satisfecho, en todos los aspectos importantes, de que los estados financieros objeto de la auditoría reúnen los requisitos necesarios.

DICTAMEN CON SALVEDADES Este tipo de Dictamen es aplicable cuando el auditor concluye que existen una o varias circunstancias en relación con las cuentas anuales tomadas en su conjunto, que pudieran ser significativas.

DICTAMEN CON SALVEDADES Las distintas circunstancias que pueden originar una Dictamen con salvedades son: Limitaciones al alcance Incertidumbres Errores o incumplimientos de los principios y normas contables generalmente aceptados

DICTAMEN DESFAVORABLE Una Dictamen desfavorable supone manifestarse en el sentido de que las cuentas anuales tomadas en su conjunto no presentan la imagen fiel del patrimonio, de la situación financiera, del resultado de las operaciones o de los cambios en la situación financiera de la entidad auditada, de conformidad con los principios y normas generalmente aceptados.

DICTAMEN DENEGADO Tambien llamado Abstencion de Dictamen Cuando el auditor no ha obtenido la evidencia necesaria para formarse una Dictamen sobre las cuentas anuales tomadas en su conjunto, debe manifestar en su informe que no le es posible expresar una Dictamen sobre las mismas. La necesidad de denegar la Dictamen puede originarse exclusivamente por: - Limitaciones al alcance de auditoría y/o - Incertidumbres.

APLICACION

APLICACION DICTAMEN SITUACIONES ENCONTRADAS SITUACIONES RELEVANTES

CONCLUSIONES El auditor informático ha de velar por la correcta utilización de los recursos de T.I. Para la realización de una auditoría informática eficaz, se debe entender a la empresa en su más amplio sentido. Para poder evaluar un sistema de cómputo hay que conocerlo desde el inicio hasta el final. El párrafo de opinión debe de mostrar claramente el juicio final del auditor.

RECOMENDACIONES Contar en todo momento, con el apoyo de la gerencia o el alto mando. El párrafo introductorio debe contener un amplio resumen de la auditoría, y un enfoque a las personas responsables en la organización. El informe de auditoría solamente debe contener hechos importantes. Los hechos encontrados por el auditor implican la existencia de debilidades que deben ser corregidas.

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.