clase de auditoria - aniei · • solicitud de costos y presupuesto ... • aplicación de...
TRANSCRIPT
Clase de auditoría Informática
CLASES Y TIPOS DE AUDITORÍA INFORMÁTICA
Las diferentes tipos de auditoría informática que existen en nuestro país son:
• Auditoría informática como soporte a la auditoría tradicional, financiera, etc.
• Auditoría informática en el concepto anterior, pero añadiendo la función de auditoría de la función de gestión del entorno informático.
• Auditoría informática como función independiente, enfocada hacia la obtención de la situación actual de un entorno de información e informático en aspectos de seguridad y riesgo, eficiencia y veracidad e integridad.
• Las acepciones anteriores desde un punto de vista interno y externo.
• Auditoría como función de control dentro de un departamento de sistemas.
Proceso
• Solicitud de la auditoría • Llenado del instrumento de autoevaluación
(manual que construye la organización con las categorías y criterios de la auditoría Informática)
• Solicitud de fechas para la visita del Auditor • Propuesta de agenda de trabajo(visita, con la
descripción de las actividades, hora y fecha)• Visita del/los Auditores• Dictamen o recomendaciones( desarrolla la
comisión de Auditores)
proceso
Auditor
Manual de levantamiento
de información
Agenda de trabajo
CSC
Autoevaluación
Agenda de visita
Auditoría Secciones
Redes Desarrollo de Sistema
Auditoría Informática
Departamento de Informática
• Documentación necesaria para el proceso de la Auditoría
Función del Auditor
• Documentación necesaria para levantar la Auditoría
Documentación mínima necesaria
Manual de Autoevaluación
Manual del auditor
Reporte de la Auditoría
Informática
Categorías
Categorías que componen la auditoría informática
1.Evaluación de la dirección de Informática
2.- Evaluación de los
Sistemas
3.-Evaluación de los Equipos
4.-Evaluación de la Seguridad
El alcance del proyecto comprende:
II ALCANCES DEL PROYECTO
1.-Evaluación de la Dirección de Informática
• Su organización• Funciones• Estructura • Cumplimiento de los objetivos • Recursos humanos• Normas y políticas • Capacitación• Planes de trabajo• Controles • Estándares • Condiciones de trabajo• Situación presupuestal y financiera
2.-Evaluación de los sistemas:
• Evaluación de los diferentes sistemas de operación (flujo, procedimientos, documentación, organización de archivos, estándares de programación, controles, utilización de los sistemas, opiniones de los usuarios).
• Evaluación de avances de los sistemas en desarrollo y congruencia con el diseño general, control de proyectos, modularidad de los sistemas.
• Seguridad lógica de los sistemas, confidencialidad y respaldos.
• Derechos de autor y secretos industriales, de los sistemas propios y los utilizados por la organización.
• Evaluación de las bases de datos
3.- Evaluación de los equipos:
• Adquisición.
• Estandarización.
• Controles.
• Nuevos proyectos de adquisición.
• Almacenamiento.
• Comunicación.
• Redes.
• Equipos adicionales.
4.- Evaluación de la seguridad:
• Seguridad lógica y confidencialidad.
• Seguridad en el personal.
• Seguridad física.
• Seguridad contra virus.
• Seguros.
• Seguridad en la utilización en los equipos.
• Seguridad en la restauración de los equipos y en los sistemas.
• Plan de contingencia y procedimientos en caso de desastre.
de investigación
Metodología
Metodología de la investigación
• La metodología deberá incluir:
1. Evaluación de la dirección de informática.
2. Evaluación de los sistemas tanto en operación como en desarrollo.
3. Evaluación de los equipos
4. Elaboración del informe final
Evaluación de la dirección de informática
Para la evaluación de la dirección de informática se llevarán a cabo las siguientes actividades:
• Solicitud de los manuales administrativos, organización, funciones, planes, políticas, estándares utilizados y programas de trabajo.
• Solicitud de costos y presupuesto de informática.
• Elaboración de un cuestionario para la evaluación de la dirección.
• Aplicación de cuestionario al personal, y realización de entrevistas.
• Entrevistas a líderes de proyectos y a usuarios más relevantes de la dirección de informática.
• Análisis y evaluación de la información.
• Elaboración del informe.
Evaluación de los sistemas tanto en operación como en desarrollo
• Estudios de viabilidad y costos/beneficio.
• Solicitud de análisis y diseño de los sistemas en operación y en desarrollo.
• Solicitud de documentación de los sistemas de operación (manuales técnicos de operación, de usuarios, de diseños.)
• Solicitud del plan de trabajo.
• Solicitud de contratos de compra o renta de software.
• Solicitud de licencias y derechos de autor.
• Plan de contingencia y recuperación en casos de desastre.
• Recopilación y análisis de los procedimientos administrativos de cada sistema.
• Análisis de base de datos.
• Análisis de seguridad lógica y confidencial.
• Evolución de los proyectos en desarrollo, prioridades y personal asignado.
Evaluación de los sistemas tanto en operación como en desarrollo
• Evaluación de la participación de auditoría interna.
• Evaluación de controles.
• Evaluación de las licencias, la obtención de derechos de autor y de la confidencialidad de la información.
• Entrevista con usuarios de los sistemas
• Evaluación directa de la información obtenida contra las necesidades y rendimientos con los usuarios.
• Análisis objetivo de la estructuración y flujo de los programas.
• Análisis y evaluación de la información compilada.
• Elaboración de informe.
Evaluación de Seguridad
• Seguridad lógica y confidencialidad• Seguridad en el personal • Seguridad física • Seguridad contra virus• Seguros• Seguridad en la utilización de los equipos • Seguridad en restauración de los equipos y los
sistemas• Plan de contingencia y procedimientos en caso
de desastre
Manual de la Autoevaluación
• Es la documentación necesaria para evaluar el con la información anterior a presentar de manera ordenada al auditor
Formatos de la Auditoría PROGRAMA DE AUDITORÍA INFORMATICA
ORGANISMO:________________________________________________________ HOJA NUM:_______________ DE__________________________
FECHA DE FORMULACIÓN____________________
FASE DESCRIPCIÓN ACTIVIDAD
NUM. DEL
PERSONAL
PARTICIPANTE
PERIODO ESTIMADO
DÍAS
HAB.
EST.
DÍAS
HOM.
EST.
Fases de la Auditoría Informática
Fases de la Auditoría La auditoría informática es el proceso de recolección y
evaluación de evidencias
La auditoría informática sigue los objetivos tradicionales de la auditoría: aquellos que son de la auditoría externa de salvaguarda de los activos y integridad de los datos, y los objetivos gerenciales
La auditoría interna es una función independiente de la evaluación que se establece dentro de la organización para examinar y evaluar sus actividades
• Antes de iniciar una auditoría se debe hacer una adecuada planeación.
Hay que seguir un serie de pasos previos que nos permitirán dimensionar el tamaño y características del área dentro del organismo a auditar, sus sistemas, organización y equipo.
• El trabajo de auditoría deberá de incluir la planeación de auditoría, el examen y evaluación de la información, la comunicación de los resultados y el seguimiento.
Planeación de la Auditoría Informática
APARTADO AUDITOR
Guía de entrevista
• Nombre del presupuesto.
• Puesto del jefe inmediato.
• Puesto a que se reporta.
• Puestos de las personas que reportan al entrevistado.
• Número de personas que reportan al entrevistado.
• Describa brevemente las actividades diarias de su puesto.
• Actividades periódicas.
• Actividades eventuales.
• ¿Con que manuales cuenta para el desempeño de su puesto?
¿Cuáles políticas se tienen establecidas para el puesto?
Señale las lagunas que considere que existe en la organización
En caso de que el entrevistado mencione cargas de trabajo, ¿Cómo las establece?
¿Cómo las controla?
Evaluación de los Sistemas
• Seguridad Lógica de los sistemas, confidencialidad y respaldos.
• Derechos de autor y secretos industriales, de los sistemas propios y los utilizados en la organización.
• Evaluación de las bases de datos
Evaluación del proceso de datos y de los equipos de computo
• Controles
Los datos son uno de los recursos mas valiosos de las organizaciones
Necesitan ser controlados y auditados con el mismo cuidado que los demás inventarios de la organización
Controles
• Políticas de respaldo
• Políticas y procedimientos
• Políticas de revisión de bitácora (soporte técnico)
• Control de licencias de software
• Políticas de seguridad del Site
Controles• Políticas de respaldo
– Contar con políticas formales por escrito para efectuar los respaldos mensuales, semanales y diarios ( manual políticas de respaldos que incluya formato de registro y estadísticas)
Todos los medios magnéticos de respaldo no deben estar almacenados en el site
Debe tenerse el acceso restringido al área de donde se tiene almacenadas los medios magnéticos
Se debe tener identificadas los medios magnéticos por fecha.
Políticas y procedimientos
• Políticas y procedimientos
contar con una política y procedimientos actualizados de la administración del área
de sistemas
Evaluación de los equipos Para la evaluación de los equipos se llevaran a cabo las siguientes actividades:
• Solicitud de los estudios de viabilidad, costo/beneficio y característica de los equipos actuales, proyectos sobre adquisición o ampliación de equipos y su actualización.
• Solicitud de contratos de compra o renta de equipos.
• Solicitud de contratos de mantenimiento de los equipos.
• Solicitud de contratos y convenios de respaldo.
• Solicitud de contratos de seguro.
• Bitácoras de los equipos.
• Elaboración de un cuestionario sobre la utilización de los equipos, periféricos y su seguridad.
• Visita a la instalación y a los lugares de mantenimiento de archivos magnéticos.
• Visita técnica de comprobación de seguridad física y lógica de las instalaciones.
• Evaluación de los sistemas de seguridad de acceso.
• Evaluación de la información recopilada, obtención de gráficas, porcentaje de utilización de los equipos y su justificación.
• Elaboración de informe.
Evaluación de los Sistemas
• Evaluación de los diferentes sistemas en operación(flujo, procedimientos, documentación, organización de archivos, estándares de programación, controles y utilización de los sistemas)
• Opiniones de los Usuarios
• Evaluaciones de los avances de los sistemas en desarrollo y congruencia con el diseño general, control de proyectos, modularidad de los sistemas.
• Evaluación de Prioridades y recursos asignados(humanos y equipos de cómputo)
EVALUACIÓN DE LOS SISTEMAS
Evaluación de los sistemas
• Los sistemas deberán ser evaluados de acuerdo con el ciclo de vida que normalmente sigue. Para ello se recomiendan los siguientes pasos:
A. Definición del problema y requerimientos de los usuarios. Examinar y evaluar lo problemas y características del sistema actual, sea manual, electrónico, así mismo los requerimientos
B. Estudio de factibilidad
desarrollo de los objetivos y modelo lógico del sistema
análisis preliminar de las diferentes
Guía de entrevista 1. Nombre del presupuesto. 2. Puesto del jefe inmediato. 3. Puesto a que se reporta. 4. Puestos de las personas que reportan al entrevistado. 5. Número de personas que reportan al entrevistado. 6. Describa brevemente las actividades diarias de su puesto. 7. Actividades periódicas. 8. Actividades eventuales. 9. ¿Con que manuales cuenta para el desempeño de su puesto? 10. ¿Cuáles políticas se tienen establecidas para el puesto? 11. Señale las lagunas que considere que existe en la organización 12. En caso de que el entrevistado mencione cargas de trabajo, ¿Cómo las establece? 13. ¿Cómo las controla?
1. ¿Cómo se deciden las políticas que han de implantarse? 2. ¿Cómo reciben las instituciones de los trabajos encomendados? 3. ¿Con que frecuencia recibe capacitación y de qué tipo? 4. ¿Sobre qué tema le gustaría recibir capacitación? 5. Mencione la capacitación obtenida y dada a su personal durante el último año. 6. ¿Cómo considera el ambiente de trabajo? 7. Observación
NOTA: En caso de que se trate de una entrevista solicitada por el personal de informática, tiene que ser confidencial y no deberá formularse las preguntas iniciales. El entrevistado deberá hablar abiertamente fomentado sus opiniones y comentarios.
Formato de evaluación 1. ¿Existe una forma de proyectos de sistema de procesamiento de información y fechas
programadas de implantación que pueda ser considerados como plan maestro?
2. ¿Esta relacionado el plan maestro con un plan general de desarrollo de la dependencia?
3. ¿Ofrece el plan maestro la atención de solicitudes urgentes de los usuarios?
4. ¿Asigna el plan maestro un porcentaje de tiempo total de producción al reproceso o fallas de equipos?– Poner la lista de proyectos a corto y largo plazos.
– Poner una lista de sistemas en procesos de periodicidad y de usuarios.
5. ¿Quién autoriza los proyectos?
6. ¿Cómo se asignan los recursos?
7. ¿Cómo se estiman los tiempos de duración?
8. ¿Quién interviene en la planeación de los proyectos?
9. ¿Cómo se calcula el presupuesto del proyecto?
10. ¿Qué técnicas se usan en el control de los proyectos?
11. ¿Quién asigna las prioridades?
12. ¿Cómo se asignan las prioridades?
13. ¿Cómo se controla el avance del proyecto?
14. ¿Con que periodicidad se revisa el reporte de avance del proyecto?
15. ¿Cómo se estima el rendimiento del personal?
16. ¿Con que frecuencia se estiman los costos del proyecto para compararlo con el presupuestado?
17. ¿Qué acciones correctivas en caso de desviaciones?
18. ¿Qué pasos y técnicas se siguen en la planeación y control de los proyectos? Enumérelos secuencialmente.
( ) Determinación de los objetivos.
( ) Señalamiento de las políticas.
( ) Designación del funcionamiento responsable del proyecto.
( ) Integración del grupo de trabajo.
( ) Integración de un comité de decisiones.
( ) Desarrollo de la Investigación.
( ) Documentación de la investigación.
( ) Factibilidad de los sistemas.
( ) Análisis y valuación de propuestas.
( ) Selección de equipos.
• ¿Se lleva acabo las revisiones periódicas de los sistemas para determinar si aun cumple con los objetivos para los cuales fueron diseñados?
• De análisis SI ( ) NO ( )
• De programación SI ( ) NO ( )
• Observaciones
• _____________________________________________________________________
Control de proyectos
CONTROL DE PROYECTOS
NOMBRE DEL PROYECTO__________________________________________ PROYECTO NUM.__________ COORDINADOR__________________________________________________ FECHA___________________
(anotar en la primera línea las fechas estimadas y en la segunda las reales)
Núm. Actividades Responsable Enero Feb. Marzo Abril Mayo Junio Julio Ago. Sept. Oct. Nov. Dic.
Descripción de Informes. FECHA:
SISTEMA
NOMBRE DEL INFORME
PROPÓSITO CLAVE:______________ PERIODICIDAD:_______
EN VIGOR DESDE:______________ NÚM. COPIAS:________
QUIÉN LO FORMULA
VOLÚMEN EN HOJAS
FECHA EN QUE DEBE PRESENTARSE
OPORTUNIDAD CONFIABILIDAD COMPLETO
COPIA USUARIO USO
ORIGINAL
1ª.
2ª.
3ª.
4ª.
NÚM. DESCRIPCIÓN DEL PROCEDIMIENTO
*ANEXAR COPIA FOTOSTÁTICA DEL INFORME Y DEL DIAGRAMA DE FLUJO
ANALIZÓ PÁG. DE
EVALUACIÓN DE FORMAS
NOMBRE DE LA FORMA FRECUENCIA DE USO
ELABORADO POR NÚM. DE LA FORMA NÚM. DE COPIAS
USUARIOS CANT. IMPRESA CAT. INV.
PERIODO ESTIMADO DE USO
OBSERVACIONES
FACTORES A EVALUAR
INFORMACION EMPRESA IMAGEN TERMINOLOGÍA ESTÁNDAR SI NO PROFESIONAL Y CORRECTA SÍ NO EXISTE MANUAL DE OPERACIÓN SI NO CALIDAD APROPIADA DEL PAPEL SÍ NO AUTODESCRIPTIVA SI NO BUENA CALIDAD DE IMPRESIÓN SÍ NO FUENTE DE INFORMACIÓN DEBIDAMENTE IDENTIFICADA SÍ NO COSTO REQUIERE OTROS DATOS DE REFERENCIA SÍ NO MAXIMO APROVECHAMEINTO DE PAPEL SÍ NO TIENE SUFICIENTES ESPACIOS SÍ NO MÁXIMO APROVECHAMIENTO DE IMPRESIÓN SÍ NO DATOS QUE CONTIENE CUMPLE CON LAS NECESIDADES SÍ NO NECESITA DATOS ADICIONALES SÍ NO DUPLICA DATOS DE OTRAS FORMAS SÍ NO TIENE DATOS INNECESARIOS SÍ NO
EN CASO DE HABER CONTESTADO “NO” A ALGUNA PREGUNTA, ANOTE LAS OPERACIONES.