La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

METODOLOGÍA DE LA AUDITORÍA INFORMÁTICA

Publicada porJesús Muriel Modificado hace 10 años

Presentaciones similares

Presentación del tema: "METODOLOGÍA DE LA AUDITORÍA INFORMÁTICA"— Transcripción de la presentación:

1 METODOLOGÍA DE LA AUDITORÍA INFORMÁTICA

2 Fases de Metodología de Auditoría Informática
1. Identificar el Alcance y los Objetivos de la Auditoría Informática (A.I.) 2. Realizar el Estudio Inicial del entorno a auditar 3. Determinar los Recursos necesarios para realizar la auditoría 4. Elaborar el Plan de Trabajo 5. Realizar las Actividades de Auditoría 6. Realizar el Informe Final 7. Carta de Presentación y Carta de Manifestaciones Metodología de la Auditoría Informática

3 1. Alcance y Objetivos de la A.I.: Alcance
Entorno y límites en que se realizará la A.I. HASTA DÓNDE SE LLEGA Acuerdo por escrito (entre auditor y cliente) cuando se incluyen áreas no informáticas o cuando la empresa tiene varias sedes, de: Funciones (Seguridad, Dirección, etc.) Materias (S.O., BD, etc.) Departamentos o Áreas Organizativas (Explotación, Sistemas, Comunicaciones, etc.) Su no definición pondrá en peligro el éxito de la A.I. Limitaciones: QUÉ DEJA DE AUDITARSE Principalmente en materias que pueden suponerse incluidas Metodología de la Auditoría Informática

4 1. Alcance y Objetivos de la A.I.: Objetivos
Auditor debe comprender con exactitud los deseos y pretensiones del cliente, para cumplir con los objetivos Objetivos específicos Necesidad de auditar una materia de gran especialización Contrastar algún informe interno con el que resulte del externo Evaluación del funcionamiento de áreas informáticas en un determinado departamento Aumentos de seguridad y fiabilidad Aumento de calidad Disminución de costes o plazos Objetivos generales (comunes a toda A.I.) Operatividad de los S.I. Controles Generales de la Gestión Informática Metodología de la Auditoría Informática

5 1. Alcance y Objetivos de la A.I.: Objetivos
Operatividad Funcionamiento, aunque sea mínimo, de la organización y sus máquinas (PCs, mainframes) Conseguida a escala general y parcial (p.e. cajero y líneas) Conseguida a través de: Controles Técnicos Generales (p.e. CPD diferentes) Sistema operativo y software de base funcionan simultáneamente con aplicaciones Hw y Sw compatibles Controles Técnicos Específicos Espacio en disco Período de utilización de BD comunes Metodología de la Auditoría Informática

6 1. Alcance y Objetivos de la A.I.: Objetivos
Controles Generales de la Gestión Informática Verificar normas del Departamento de Informática y observar su consistencia con las del resto de la empresa Normas Generales de la Instalación Informática Procedimientos Generales y Específicos del Departamento de Informática (p.e. una aplicación no pasa a Explotación sin su correspondiente Documentación) Comprobar que no existen contradicciones con normas y procedimientos generales de la empresa Interlocutores Personas con poder de decisión y validación dentro de la empresa Personas a las que va dirigido el informe Metodología de la Auditoría Informática

7 Metodología de la Auditoría Informática
2. Estudio Inicial Examinar situación general de funciones y actividades generales de la informática Conocimiento de: Organización: Estructura organizativa del Departamento de Informática a auditar Entorno de Operación: Entorno de trabajo Aplicaciones Informáticas: Procesos informáticos realizados en la empresa auditada Bases de Datos Ficheros Metodología de la Auditoría Informática

8 2. Estudio Inicial: Organización
Estructura organizativa del Departamento de Informática a auditar. Organigrama: estructura informática de la organización a auditar Metodología de la Auditoría Informática

9 2. Estudio Inicial: Organización
Departamentos: describir sus funciones Relaciones Jerárquicas y funcionales 1 Empleado con dos Jefes Flujos de Información, tanto horizontales y oblicuas como extradepartamentales y verticales Canales alternativos que denotan lagunas en la estructura y organigrama, o bien por simpatías Número de Puestos de Trabajo Nombres de los puestos de trabajo corresponden a funciones distintas: Deficiencias en estructura si varios nombres con 1 función Número de Personas por Puesto de Trabajo Distribución de recursos ineficiente Necesidad de reorganización Metodología de la Auditoría Informática

10 2. Estudio Inicial: Entorno Operativo
Referencia del entorno de trabajo en el que el auditor va a trabajar Situación Geográfica Diferentes CPDs, con responsables y mismos estándares de trabajo Arquitectura y Configuración Hardware y Software Configuración de diferentes CPDs compatible y estén intercomunicados Inventario Hardware y Software CPUs, procesadores, PCs, periféricos, etc. Software básico, software interno y software comprado Comunicaciones y Redes de Comunicación Líneas de Comunicación Acceso a red pública e intranet Metodología de la Auditoría Informática

11 2. Estudio Inicial: Aplicaciones Informáticas
Procedimientos Informáticos realizados en la empresa Volumen, Antigüedad y Complejidad de las aplicaciones Periodicidad de ejecuciones de carga de trabajo Metodología de desarrollo de aplicaciones Documentación de aplicaciones Mantenimiento es el 70% de recursos Cantidad y Complejidad de Bases de Datos y Ficheros Tamaño y características de BD y Ficheros Número de Accesos a BD y Ficheros Frecuencia de Actualización Metodología de la Auditoría Informática

12 Metodología de la Auditoría Informática
3. Recursos de la A.I. A partir del Estudio Inicial, se determinan los recursos humanos y materiales Recursos Materiales Proporcionados por cliente en su mayoría Software: paquetes de auditoría del equipo auditor, compiladores Hardware: PCs, impresoras, líneas de comunicación Determinación de incremento de carga del auditado y consenso en fechas y duración de actividades de auditoría Recursos Humanos Cantidad depende del alcance de la auditoría Perfil depende de la materia a auditar Metodología de la Auditoría Informática

13 Metodología de la Auditoría Informática
3. Recursos de la A.I. Metodología de la Auditoría Informática

14 4. Plan y Asignación de Trabajos
Calendario de actividades a realizar aprobado por responsables de área y de auditoría Aspectos a tener en cuenta: Plan por grandes áreas: Elaboración más compleja y costosa que implica superior calidad, más tiempo total y mayores recursos Plan por áreas específicas: Resultado obtenido más rápidamente y con menor calidad Auditoría de toda la Informática o Parcial: determinación del número de auditores y especialistas Planificación de la Auditoría (Guía ISACA) Conocimiento de la organización y de sus procesos, para identificar problemas potenciales, alcance, etc. Programa de auditoría: Calendario de trabajo (tareas y recursos) y su seguimiento Evaluación interna del control, mediante pruebas de cumplimiento de los controles Metodología de la Auditoría Informática

15 5 . Actividades de la A.I.: Técnicas
Revisión Análisis de la información obtenida (principalmente a través de cuestionarios y entrevistas) y de la propia Entrevistas Con método prestablecido y preparación Gran elaboración de preguntas, orden Desencadena en checklist: cuestionario minucioso, ordenado y estructurado por materias Simulación Muestreos Metodología de la Auditoría Informática

16 5. Actividades de la A.I.: Técnicas: Cuestionario
Metodología de la Auditoría Informática

17 5. Actividades de la A.I.: Herramientas
Cuestionario general Cuestionario-Checklist Simuladores (generadores de datos) Paquetes de Auditoría (generadores de programas) Rastrear los caminos de los datos Utilizados principalmente en auditorías no informáticas Paquetes de parametrización de librerías Metodología de la Auditoría Informática

18 Metodología de la Auditoría Informática
5. Actividades de la A.I. Movilización Mantener reunión de planificación inicial para: Determinar el proceso más eficaz-rentable de obtención de información Determinar el uso de especialistas / herramientas sectoriales Entorno de Control Registrar y evaluar el entorno de control de la empresa Información del negocio/sector Planificar la utilización de tecnología Obtener comprensión del negocio, estructura, riesgos Discutir preocupaciones, necesidades, expectativas Información sobre los sistemas y el entorno informático Evaluando los controles de supervisión Metodología de la Auditoría Informática

19 Metodología de la Auditoría Informática
5. Actividades de la A.I. Estrategia de auditoría Reunión de planificación Preparar los programas de auditoría Para las áreas de auditoría, analizando riesgos de error y fraudes identificados Preparar un plan de tareas Calendario e información a entregar del cliente Plan de tareas, con asignación de tiempos Roles y responsabilidades de miembros del equipo auditor y estrategia para comunicación para revisar, asignar tareas y acordar objetivos Establecer medidas para supervisar el progreso, incluyendo reuniones periódicas Metodología de la Auditoría Informática

20 Metodología de la Auditoría Informática
5. Actividades de la A.I. Comunicación del plan Informar a los miembros del equipo Presentar al cliente el plan de auditoría Ejecución Documentar, evaluar y probar controles de supervisión de las aplicaciones Informar al cliente sobre estado del trabajo y conclusiones alcanzadas Otros procedimientos de auditoría Informes finales Revisión Completar los pasos y tareas del trabajo Metodología de la Auditoría Informática

21 Metodología de la Auditoría Informática
5. Actividades de la A.I. Finalización Completar y revisar el tratamiento informático. Responder a excepciones Aspecto críticos importantes han sido resueltos, documentados y comunicados al cliente y al equipo Carta de manifestaciones del cliente Firma del auditor Información al cliente Comunicar las debilidades significativas de control interno y las recomendaciones oportunas Evaluaciones Calidad del servicio en relación con las expectativas del cliente Metodología de la Auditoría Informática

22 6. Informe Final: Guía ISACA
Relación con los Estándares Estándar : Contenido e Impreso del Informe El Informe de Auditoría indica: Alcance Objetivos Período de cobertura Naturaleza y extensión del trabajo de auditoría Organización Destinatarios del informe Restricciones Hallazgos Conclusiones Recomendaciones Metodología de la Auditoría Informática

23 6. Informe Final: Guía ISACA
Necesidad de la guía Describir prácticas recomendadas para preparar un informe de auditoría Realización del informe Estilo y Contenido: Objetivo, claro, conciso, constructivo y oportuno Apropiado a los destinatarios Identificar organización auditada Incluye título, firma y fecha Objetivos (lo que trata de cumplir la auditoría) Alcance: naturaleza, tiempo y extensión del trabajo de auditoría Área funcional Período de auditoría Sistemas de información, aplicaciones o entornos auditados Metodología de la Auditoría Informática

24 6. Informe Final: Guía ISACA
Realización del Informe (continuación) Restricción sobre su distribución Hallazgos significativos de la auditoría (causas y riesgos) Conclusión: evaluación del auditor sobre el área auditada Recomendaciones, para realizar acciones correctivas Presentación: lógica y organizada Estar a tiempo para fomentar las acciones correctivas puntualmente Consideraciones de eventos subsiguientes Fraude descubierto después de la auditoría Incendio después de la revisión de controles Ética y estándares profesionales Actividades subsiguientes Petición de contestación, que incluya las acciones correctivas como resultado del informe Metodología de la Auditoría Informática

25 Metodología de la Auditoría Informática
7. Otra Documentación Carta de Presentación del Informe Final Resumen en 3 ó 4 folios del contenido del informe final Incluye fecha, naturaleza, objetivos y alcance de la auditoría Cuantifica la importancia de las áreas analizadas Proporciona una conclusión general, concretando las áreas de gran debilidad Presentar las debilidades en orden de importancia Carta de Manifestaciones La Dirección de la empresa auditada confirma que se han mostrado transparente y han proporcionado toda la información necesaria para la auditoría En papel con membrete de la empresa auditada Firman los responsables de los áreas relacionados con la auditoría: Presidente, Consejero Delegado, Director General Metodología de la Auditoría Informática

26 8. Estructura del Informe Final
Título o Identificación del Informe Distinguirlo de otros informes Fecha de Comienzo Miembros del Equipo Auditor Entidad auditada Identificación de destinatarios Finaliza con Nombre, Dirección y Datos Registrales del Auditor Firma del Auditor Fecha de emisión del informe Metodología de la Auditoría Informática

27 8. Estructura del Informe Final
Objetivos y Alcance de la Auditoría Estándares, especificaciones, prácticas y procedimientos utilizados Excepciones aplicadas Materias consideradas en la auditoría Situación actual Hechos importantes Hechos consolidados Tendencias, de situación futura Puntos débiles y amenazas (hecho = debilidad) Hecho encontrado Consecuencias del hecho Repercusión del hecho (influencias sobre otros aspectos) Conclusión del hecho Recomendaciones Redacción de la Carta de Presentación Metodología de la Auditoría Informática

28 8. Estructura del Informe Final: Tipos de Informes
Función de opinión del auditor respecto a los objetivos de la auditoría Favorable o sin salvedades: trabajo realizado Sin limitaciones de alcance y sin incertidumbre De acuerdo con la normativa legal y profesional Con salvedades Desfavorable Identificación de irregularidades Incumplimiento de la normativa legal y profesional que afecte a significativamente a los objetivos estipulados Denegada Limitaciones al alcance Incertidumbres significativas Irregularidades Incumplimiento de normativa lega y profesional Metodología de la Auditoría Informática

29 8. Estructura del Informe Final: Tipos de Informes: Con salvedades
Limitaciones al alcance El auditor no puede aplicar los procedimientos de auditoría requeridos por la normativa legal y profesional o según su juicio profesional Provenientes de la propia entidad auditada Considerar la naturaleza y magnitudes del efecto potencial de los procedimientos omitidos y su importancia relativa Incertidumbres Desenlace que no se puede estimar por depender de que suceda, o no, algún otro hecho: litigios, juicios, etc. Errores e incumplimiento de normativa legal y profesional Utilización de principios distintos a los generalmente aceptados Ausencia de información Cambios durante el ejercicio respecto a los del ejercicio anterior Metodología de la Auditoría Informática

30 Metodología de la Auditoría Informática
8. Estructura del Informe Final: Pautas del Lenguaje y Redacción del Informe Títulos: expresivos y breves Párrafos Un solo asunto por párrafo 8 ó 10 líneas por párrafo Frases Una sola idea por frase No más de 3 líneas Otros consejos Lenguaje sobrio y normal Voz activa, nunca pasiva Omitir palabras innecesarias (con referencia a, consecuentemente con, etc.) Evitar redundancias No utilizar adverbios y adjetivos simultáneamente Metodología de la Auditoría Informática

31 Metodología de la Auditoría Informática
ADVERBIOS Los adverbios son palabras que modifican a un verbo, un adjetivo o a otro adverbio. En la oración funcionan como circunstanciales o formando parte de modificadores. Son invariables, ya que no tienen género ni número. Metodología de la Auditoría Informática

Descargar ppt "METODOLOGÍA DE LA AUDITORÍA INFORMÁTICA"

Presentaciones similares

Planeación de la Auditoría

Planeación de la Auditoría
Open RA 10/25/00 EEM/TD/LQ M. F. Juan 1 La Función de Calidad en los Proyectos de Desarrollo de Software Manuel F. Juan Martínez Juan López Espinosa Centro.

Open RA 10/25/00 EEM/TD/LQ M. F. Juan 1 La Función de Calidad en los Proyectos de Desarrollo de Software Manuel F. Juan Martínez Juan López Espinosa Centro.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Auditoría. Concepto Conceptualmente la auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre.

Auditoría. Concepto Conceptualmente la auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre.
Auditoría Informática

Auditoría Informática
MODELO DE AUDITORIA DE IMAGEN

MODELO DE AUDITORIA DE IMAGEN
EL AUDITOR INTERNO DE CALIDAD

EL AUDITOR INTERNO DE CALIDAD
SENA: CONOCIMIENTO PARA TODOS LOS COLOMBIANOS

SENA: CONOCIMIENTO PARA TODOS LOS COLOMBIANOS
Metodología de Trabajo de Auditoría Informática

Metodología de Trabajo de Auditoría Informática
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
AUDITORIA DE LA EXPLOTACIÓN

AUDITORIA DE LA EXPLOTACIÓN
Granada, 19 de mayo de 2006 Antonio Benavides Vico

Granada, 19 de mayo de 2006 Antonio Benavides Vico
NORMA INTERNACIONAL DE AUDITORÍA 505

NORMA INTERNACIONAL DE AUDITORÍA 505
AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS

AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS
NORMA INTERNACIONAL DE AUDITORÍA 300

NORMA INTERNACIONAL DE AUDITORÍA 300
AUDITORIA INTERNA.

AUDITORIA INTERNA.
Medición, Análisis y Mejora

Medición, Análisis y Mejora
Metodologías de control interno, seguridad y auditoría informática

Metodologías de control interno, seguridad y auditoría informática
EL CONTROL INTERNO Y EL CONTROL DE GESTIÓN

EL CONTROL INTERNO Y EL CONTROL DE GESTIÓN
EL INFORME DE AUDITORÍA TEMA 5

EL INFORME DE AUDITORÍA TEMA 5

Presentaciones similares

Anuncios Google