2. Llevar a cabo una auditoría de sistemas
computacionales requiere una serie ordenada
de:
◦ acciones y procedimientos específicos, los cuales
deberán ser diseñados previamente de manera:
secuencial,
cronológica y
ordenada,
◦ de acuerdo a:
Las etapas, eventos y actividades que se requieran
para su ejecución
3. La metodología es necesaria para que un
equipo de profesionales alcance un resultado
homogéneo tal como si lo hiciera uno sólo.
Por ello, resulta habitual el uso de
metodologías en las empresas
auditoras/consultoras profesionales
(desarrolladas por los más expertos) para
conseguir resultados similares (homogéneos)
en equipos de trabajo diferentes
(heterogéneos).
4. Método: “modo prescrito para
ejecutar una tarea o trabajo
determinado, por el cual se
pretende alcanzar un objetivo
establecido.
Metodología: “estudio de los métodos que se
siguen en una investigación, un conocimiento
o una interpretación.
5. Planeación: es el
proceso de decidir
de antemano qué
se hará y de qué
manera se hará.
Plan: es un instrumento
diseñado para alcanzar
determinados objetivos,
donde se definen
espacio, tiempo y
medios utilizables para
su alcance
Politicas, Prog, Proced
Misiones globales
Resultados
Objetivos Espec.
Medios
(recursos)
Acciones Tiempo
(futuro)
6. Programa: conjunto
estructurado de diversas
actividades al cual se le
asignan recursos
humanos, materiales y
financieros, indicando la
secuencia cronológica y los
tiempos de duración de
dichos pasos
Presupuesto: “estimación programada en forma sistemática de los
ingresos y egresos que maneja un organismo en un período
determinado; puede considerarse como un plan de acción en términos
monetarios y cuyo ejercicio abarca generalmente un año de actividad”
7.
8.
9. Conocer la organización objeto de Auditoría
◦ Cantidad de empleados, tipo de información que
maneja la organización, contexto donde la empresa
está funcionando, …
◦ Información de la empresa y de su centro de datos
(departamento de informática)
10. 1.
•Identificar el origen de la auditoría
2.
•Realizar visita preliminar al área que será evaluada
3.
•Establecer objetivos de la auditoría
4.
•Determinar los puntos que serán evaluados en la auditoría
5.
•Elaborar planes, programas y presupuestos para realizar la
auditoría
6.
•Identificar y seleccionar los métodos, herramientas, instrumentos y
procedimientos necesarios para la auditoría
7.
•Asignar recursos y sistemas computacionales para la auditoría
11. Por solicitud expresa de procedencia interna
Por solicitud expresa de procedencia externa
Como consecuencia de emergencias y
condiciones especiales
Por riesgos y contingencias informáticas
Como resultados de los planes de
contingencia
Por resultados obtenidos de otras auditorías
Como parte del programa integral de
auditoría
12. Visita preliminar de arranque:
◦ ¿Cómo se encuentran distribuidos los sistemas en
el área?
◦ ¿Cuántos, cuáles, cómo y de qué tipo son los
equipos que están instalados en el centro de
sistemas?
◦ ¿Cuáles son las principales características físicas de
los sistemas que serán auditados?
◦ ¿Cómo reacciona el personal ante la visita del
auditor?
◦ ¿Qué limitaciones se observan para realizar la
auditoría?
13. Establecer los objetivos de la auditoría:
◦ Objetivo general
◦ Objetivos particulares
◦ Objetivos específicos
14. Determinar los puntos que serán evaluados
en la auditoría
◦ Evaluación de las funciones y actividades del
personal en el área de sistemas
◦ Evaluación de las áreas y unidades administrativas
del centro de computo
◦ Evaluación de la seguridad de los SI
◦ Evaluación de la información, documentación y
registros de los sistemas
◦ Evaluación del hardware
◦ Evaluación del software
◦ Evaluación de la información y bases de datos
15. Elaborar planes, programas y presupuestos
que serán utilizados:
◦ Elaborar el documento formal de los planes de
trabajo para la auditoría
◦ Elaborar los programas de actividades para realizar
la auditoría
◦ Elaborar los presupuestos para la auditoría
16. Identificar y seleccionar los métodos,
herramientas, instrumentos y procedimientos
necesarios para la auditoría
◦ Establecer la guía de ponderación de los puntos que
serán evaluados
◦ Elaborar la guía de la auditoría
◦ Elaborar los documentos necesarios para la
auditoría (encuestas, cuestionarios, entrevistas)
◦ Determinar herramientas, métodos y
procedimientos para la auditoría
17. Asignar recursos y sistemas computacionales
para la auditoría
◦ Recursos Humanos
◦ Recursos informáticos y tecnológicos
◦ Recursos materiales y de consumo
◦ Otros recursos necesarios (viaticos, pasajes,…)
18. Realizar las acciones programadas para la
auditoría
Aplicar los instrumentos y
herramientas para la
auditoría
Aplicar los recursos y
actividades conforme a los
planes y programas
Recopilar la documentación y
evidencias de la auditoría
19. Identificar y elaborar los documentos de desviaciones
Integrar los papeles de trabajo de
la auditoría
Integrar los documetos y pruebas
en papeles de trabajo
Evidencias
◦ Puntos débiles del sistema
◦ Puntos fuertes
◦ Riesgos Eventuales
◦ Posibles oportunidades
◦ Posibles soluciones y mejoras
21. Carta de presentación del informe
Resumen del informe
Elaborar el dictamen final
Presentación del informe de auditoría
22. Estructura del informe final:
◦ El informe comienza con la fecha de comienzo
de la auditoría y la fecha de redacción del
mismo.
◦ Se incluyen los nombres del equipo
auditor y los nombres de todas las
personas entrevistadas, con indicación del
departamento, responsabilidad y puesto
de trabajo que ostente.
◦ Definición de objetivos y alcance de la
auditoría.
23. Cuerpo expositivo:
• Cuando se trate de una revisión periódica, en la
que se analiza no solamente una situación sino
además su evolución en el tiempo, se expondrá
la situación prevista y la situación real.
a. Situación actual.
• Se tratarán de hallar parámetros que permitan
establecer tendencias futuras.
b. Tendencias
• Se establecen los puntos débiles y amenazas
encontradas durante la auditoría
c. Puntos débiles y amenazas.
• Constituyen junto con la exposición de puntos
débiles, el verdadero objetivo de la auditoría
informática.
d. Recomendaciones y planes de
acción.
• e. Redacción posterior de la Carta de Introducción
o Presentación.
Carta de Presentación
24. El informe debe incluir solamente hechos importantes.
El Informe debe consolidar los hechos que se describen en el mismo.
El término de "hechos consolidados" adquiere un especial significado
de verificación objetiva y de estar documentalmente probados y
soportados. La consolidación de los hechos debe satisfacer, al menos
los siguientes criterios:
◦ El hecho debe poder ser sometido a cambios.
◦ Las ventajas del cambio deben superar los inconvenientes
derivados de
◦ mantener la situación.
◦ No deben existir alternativas viables que superen al cambio
propuesto.
◦ La recomendación del auditor sobre el hecho debe mantener o
mejorar las normas y estándares existentes en la instalación.
◦ La aparición de un hecho en un informe de auditoría implica
necesariamente la existencia de una debilidad que ha de ser
corregida.
25. Flujo del
hecho o
debilidad:
•- Ha de ser relevante para el auditor y pera el cliente.
•- Ha de ser exacto, y además convincente.
•- No deben existir hechos repetidos.
1 – Hecho encontrado.
•- Las consecuencias deben redactarse de modo que sean
directamente deducibles del hecho.
2 – Consecuencias del
hecho
•- Se redactará las influencias directas que el hecho
pueda tener sobre otros aspectos informáticos u otros
ámbitos de la empresa.
3 – Repercusión del
hecho
•- No deben redactarse conclusiones más que en los
casos en que la exposición haya sido muy extensa o
compleja.
4 – Conclusión del hecho
•- Deberá entenderse por sí sola, por simple lectura.
•- Deberá estar suficientemente soportada en el propio texto.
•- Deberá ser concreta y exacta en el tiempo, para que pueda ser verificada su
implementación.
•- La recomendación se redactará de forma que vaya dirigida expresamente a la
persona o personas que puedan implementarl
5 – Recomendación del
auditor informático
26. La carta de introducción tiene especial importancia porque en
ella ha de resumirse la auditoría realizada. Se destina
exclusivamente al responsable máximo de la empresa, o a la
persona concreta que encargo o contrato la auditoría.
La carta de introducción poseerá los siguientes atributos:
· Tendrá como máximo 4 folios.
· Incluirá fecha, naturaleza, objetivos y alcance.
· Cuantificará la importancia de las áreas analizadas.
· Proporcionará una conclusión general, concretando las
áreas de gran debilidad.
· Presentará las debilidades en orden de importancia y
gravedad.
· En la carta de Introducción no se escribirán nunca
recomendaciones.
Notas del editor
Confección y redacción del Informe Final
La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la
elaboración final es el exponente de su calidad.
Resulta evidente la necesidad de redactar borradores e informes parciales previos al
informe final, los que son elementos de contraste entre opinión entre auditor y auditado y que
pueden descubrir fallos de apreciación en el auditor.
Estructura del informe final:
El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del
mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas
entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente.
Definición de objetivos y alcance de la auditoría.
Enumeración de temas considerados:
Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible
todos los temas objeto de la auditoría.
Cuerpo expositivo:
Para cada tema, se seguirá el siguiente orden a saber:
a. Situación actual. Cuando se trate de una revisión periódica, en la que se
analiza no solamente una situación sino además su evolución en el tiempo, se expondrá
la situación prevista y la situación real.
b. Tendencias. Se tratarán de hallar parámetros que permitan establecer
tendencias futuras.
c. Puntos débiles y amenazas.
d. Recomendaciones y planes de acción. Constituyen junto con la
exposición de puntos débiles, el verdadero objetivo de la auditoría informática.
e. Redacción posterior de la Carta de Introducción o Presentación.
Confección y redacción del Informe Final
La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la
elaboración final es el exponente de su calidad.
Resulta evidente la necesidad de redactar borradores e informes parciales previos al
informe final, los que son elementos de contraste entre opinión entre auditor y auditado y que
pueden descubrir fallos de apreciación en el auditor.
Estructura del informe final:
El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del
mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas
entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente.
Definición de objetivos y alcance de la auditoría.
Enumeración de temas considerados:
Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible
todos los temas objeto de la auditoría.
Cuerpo expositivo:
Para cada tema, se seguirá el siguiente orden a saber:
a. Situación actual. Cuando se trate de una revisión periódica, en la que se
analiza no solamente una situación sino además su evolución en el tiempo, se expondrá
la situación prevista y la situación real.
b. Tendencias. Se tratarán de hallar parámetros que permitan establecer
tendencias futuras.
c. Puntos débiles y amenazas.
d. Recomendaciones y planes de acción. Constituyen junto con la
exposición de puntos débiles, el verdadero objetivo de la auditoría informática.
e. Redacción posterior de la Carta de Introducción o Presentación.
Modelo conceptual de la exposición del informe final
- El informe debe incluir solamente hechos importantes.
La inclusión de hechos poco relevantes o accesorios desvía la atención del lector.
- El Informe debe consolidar los hechos que se describen en el mismo.
El término de "hechos consolidados" adquiere un especial significado de verificación
objetiva y de estar documentalmente probados y soportados. La consolidación de los hechos
debe satisfacer, al menos los siguientes criterios:
El hecho debe poder ser sometido a cambios.
Las ventajas del cambio deben superar los inconvenientes derivados de
mantener la situación.
No deben existir alternativas viables que superen al cambio propuesto.
La recomendación del auditor sobre el hecho debe mantener o mejorar las
normas y estándares existentes en la instalación.
La aparición de un hecho en un informe de auditoría implica necesariamente la
existencia de una debilidad que ha de ser corregida.
Flujo del hecho o debilidad:
1 –
Flujo del hecho o debilidad:
1 – Hecho encontrado.
- Ha de ser relevante para el auditor y pera el cliente.
- Ha de ser exacto, y además convincente.
- No deben existir hechos repetidos.
2 – Consecuencias del hecho
- Las consecuencias deben redactarse de modo que sean directamente
deducibles del hecho.
3 – Repercusión del hecho
- Se redactará las influencias directas que el hecho pueda tener
sobre otros aspectos informáticos u otros ámbitos de la empresa.
4 – Conclusión del hecho
- No deben redactarse conclusiones más que en los casos en
que la exposición haya sido muy extensa o compleja.
5 – Recomendación del auditor informático
- Deberá entenderse por sí sola, por simple lectura.
- Deberá estar suficientemente soportada en el propio texto.
- Deberá ser concreta y exacta en el tiempo, para que pueda ser
verificada su implementación.
- La recomendación se redactará de forma que vaya dirigida
expresamente a la persona o personas que puedan implementarla.
Carta de introducción o presentación del informe final:
La carta de introducción tiene especial importancia porque en ella ha de resumirse la
auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la
persona concreta que encargo o contrato la auditoría.
Así como pueden existir tantas copias del informe Final como solicite el cliente, la
auditoría no hará copias de la citada carta de Introducción.
La carta de introducción poseerá los siguientes atributos:
· Tendrá como máximo 4 folios.
· Incluirá fecha, naturaleza, objetivos y alcance.
· Cuantificará la importancia de las áreas analizadas.
· Proporcionará una conclusión general, concretando las áreas de gran debilidad.
· Presentará las debilidades en orden de importancia y gravedad.
· En la carta de Introducción no se escribirán nunca recomendaciones.