ing. josé luis llamas cárdenas - llamas blog | sitio de ... · de la sistematización y de haber...
TRANSCRIPT
Actividad 1: Concepto de
Auditoria
En grupos de 3 mediante la dinámica
entrevistado – entrevistador, listar
palabras relacionadas con:
Auditoria
Sistemas
Informática
Exponer el resultado de la dinámica y
elaborar una definición grupal de
Auditoría de sistemas Informáticos
Actividad 2: Concepto de
Auditoria
En equipos de 4 personas deberán
elaborar 2 Aviones chicos 2 grandes y 3
barcos de papel
Uno de los integrantes auditará el
proceso y presentará a la clase su
informe de auditoria.
Control
Conjunto de disposiciones metódicas,
cuyo fin es vigilar las funciones y
actitudes de las empresas y para ello
permite verificar si todo se realiza
conforme a los programas adoptados,
ordenes impartidas y principios
admitidos.
Clasificación general de los
controles Controles Preventivos
Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo,
permitiendo cierto margen de violaciones .
Ejemplos: Letrero “No fumar” para salvaguardar las instalaciones,
Sistemas de claves de acceso
Controles detectivos
Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta
luego de ocurridos. Son los mas importantes para el auditor. En cierta forma sirven
para evaluar la eficiencia de los controles preventivos.
Ejemplo: Archivos y procesos que sirvan como pistas de auditoría,
Procedimientos de validación
Controles Correctivos
Ayudan a la investigación y corrección de las causas del riesgo. La corrección
adecuada puede resultar dificil e ineficiente, siendo necesaria la implantación de
controles detectivos sobre los controles correctivos, debido a que la corrección de
errores es en si una actividad altamente propensa a errores.
Actividad 3: Tipos de Controles
En grupos de 3 proporcionar controles
para un laboratorio de computo escolar
y clasificarlos en los tipos de controles.
Exponer el resultado de trabajo frente a
la clase
Principales controles físicos y lógicos
Autenticidad Permiten verificar la identidad
○ Passwords
○ Firmas digitales
Exactitud Aseguran la coherencia de los datos
○ Validación de campos
○ Validación de excesos
Totalidad Evitan la omisión de registros así como garantizan la conclusión de un
proceso de envió○ Conteo de registros
○ Cifras de control
Redundancia Evitan la duplicidad de datos
○ Cancelación de lotes
○ Verificación de secuencia
Principales controles físicos y lógicos
Privacidad Aseguran la protección de los datos
○ Compactación
○ Encriptación
Existencia Aseguran la disponibilidad de los datos
○ Bitácora de estados
○ Mantenimiento de activos
Protección de Activos Destrucción o corrupción de información o del hardware
○ Extintores
○ Passwords
Efectividad Aseguran el logro de los objetivos
○ Encuestas de satisfacción
○ Medición de niveles de servicio
Eficiencia Aseguran el uso óptimo de los recursos
○ Programas monitores
○ Análisis costo-beneficio
Controles automáticos lógicos
Periodicidad de cambio de claves de
acceso
Verificación de datos de entrada
Conteo de registros
Actividad 4
¿La aplicación de que controles internos podría generar tensión en los trabajadores de una empresa?
¿Cuál es el objetivo de la aplicación de un control interno?
¿Cómo justificaría ante un directivo la inversión necesaria para la aplicación de controles internos?
Obtención y análisis de
información
La primer tarea de un auditor es conocer el estado actual de operación
Puede realizar entrevistas, revisar documentación, visitas a areas de trabajo
No hay que perder de vista que la finalidad de una auditoria es entregar un reporte a directivos
Por lo tanto hay que diseñar instrumentos de recolección de información
Actividad 1
Realizar un instrumento para conocer la
actualidad de un laboratorio de
cómputo.
Dicho instrumento consistirá en 10
rubricas que den una idea general de la
situación actual
Elaborar dicho instrumento en equipos y
exponer para compartir con el resto de
la clase
Investigación preliminar
Se deberá observar el estado general
del área, su situación dentro de la
organización, si existe la información
solicitada, si es o no necesaria y la
fecha de su última actualización.
Se debe hacer la investigación
preliminar solicitando y revisando la
información de cada una de las áreas
basándose en los siguientes puntos:
Administración
Se recopila la información para obtener
una visión general del departamento por
medio de observaciones, entrevistas
preliminares y solicitud de documentos
para poder definir el objetivo y alcances
del departamento.
PARA ANALIZAR Y DIMENSIONAR LA
ESTRUCTURA POR AUDITAR SE
DEBE SOLICITAR:
Área Informática Objetivos a corto y largo plazo.
RECURSOS MATERIALES Y TECNICOS Solicitar documentos sobre los equipos, número de ellos, localización y características.
Estudios de viabilidad.
Número de equipos, localización y las características (de los equipos instalados y por instalar y programados)
Fechas de instalación de los equipos y planes de instalación.
Contratos vigentes de compra, renta y servicio de mantenimiento.
Contratos de seguros.
Convenios que se tienen con otras instalaciones.
Configuración de los equipos y capacidades actuales y máximas.
Planes de expansión.
Ubicación general de los equipos.
Políticas de operación.
Políticas de uso de los equipos.
Área Sistemas
Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información.
Manual de formas.
Manual de procedimientos de los sistemas.
Descripción genérica.
Diagramas de entrada, archivos, salida.
Salidas.
Fecha de instalación de los sistemas.
Proyecto de instalación de nuevos sistemas.
Recolección de información
En el momento de hacer la planeación de la auditoría o bien su realización, debemos evaluar que pueden presentarse las siguientes situaciones.
Se solicita la información y se ve que:
No tiene y se necesita.
No se tiene y no se necesita.
Se tiene la información pero:
No se usa.
Es incompleta.
No esta actualizada.
No es la adecuada.
Se usa, está actualizada, es la adecuada y está completa.
El éxito del análisis crítico depende de las consideraciones siguientes:
Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin fundamento)
Investigar las causas, no los efectos.
Atender razones, no excusas.
No confiar en la memoria, preguntar constantemente.
Criticar objetivamente y a fondo todos los informes y los datos recabados
Actividad 2
Se planea implementar un
departamento de auditoría de sistemas
en su empresa, se le ha dado la tarea
de elaborar un anuncio que se publicará
solicitando al auditor.
Solicito Auditor de Sistemas
informáticos
Requisitos:
Requisitos: Egresado de la UAC
Confiable
Sexo indistinto
Conocimientos Básicos en Administración, Contabilidad e Informática
Lic. O Ing. Titulado en Sistemas
Facilidad de Palabra
Honesto
Buena presentación
// Trabajo bajo presión
Experiencia mínima 1-2 años como auditor(a)
Disponibilidad de horario
Disponibilidad para viajar
De 25 a 35 Años
//Casado con 3 hijos
Alto de ojo de color
Carro propio
Responsable
Trabajo parcial 1
Portada
Índice
Resumen
Descripción general de la empresa
Misión y Visión del Departamento de cómputo
Instrumento de diagnostico con rubricas
Controles
Propuesta de implementación de controles
Anexos
Fecha entrega: Miercoles 14 de Septiembre
Correo electrónico: [email protected] <- 3 eles!!!
Diferencia entre evaluar y
calificar Responda en forma grupal las siguientes preguntas:
¿Qué es evaluar? Proceso de probar las capacidades de alguna entidad.
Ver como una persona se desempeña en su area de trabajo
Ver o enunciar el estado de algo
Darle un valor a algo
Poner a prueba las características de un producto o servicio
Es una revisión general de los aspectos a tomar en cuenta
¿Qué es calificar? El resultado del proceso de evaluación
Darle un puntaje del 5 al 10 de como desempeña su trabajo
Definirlo con cierto estándar establecido
Darle una puntuación a algo
Asignarle un valor a un p o s
Darle un valor a cada uno de los aspecto que se revisaron dentro de un rango
Diferencia entre Evaluación y
Calificación
La evaluación es un proceso de revisión
mientras que calificar es solo asignar un
valor determinado
<3
*
Evaluación de la función
informática
Después de haber definido los objetivos
de la sistematización y de haber
diseñado el sistema que albergará y
administrará la información, es
necesario llenar con los datos
pertinentes dicha estructura
informática..
Recopilación de la información
a través de levantamientos de campo.
Esta manera de recopilar información reúne todas aquellas técnicas usadas para obtener información que no existe: Diseños muestrales. Cuando es necesario obtener
información representativa de universos grandes, es importante recopilar la información a partir de muestras bien escogidas que no arrastren sesgos en la información recopilada.
Diseño de instrumentos. Cuando la información va a ser recopilada a manera de encuestas, es importante saber diseñar cuestionarios que arrojen información confiable.
Uso de bases de datos o archivos de información preexistentes. Esta manera de recopilación de información es usada cuando ya existe información que permita llenar el sistema.
Resultados de la evaluación
Es necesario estructurar los instrumentos de manera que contengan valores cuantificables para poder hacer un concentrado de la evaluación y presentar algún informe.
Además una cuantificación permitirá comparar auditorias realizadas en diferentes tiempos
Proceso muy importante para la mejora continua
Evaluación de la estructura
orgánizacional
Estructura organizacional Es la forma en que se dividen y coordinan las
actividades de una organización
Importancia del organigrama La importancia como instrumento de análisis es
que permite detectar las fallas estructurales, ya que representa gráficamente las unidades y relaciones y estas se pueden observar en cualquier unidad o relación que corresponda con el tipo de actividad, función o autoridad que desempeña la unidad entre sí y detecta falla de control de la Departamentalización
El uso de organigramas
Puede apreciarse a simple vista la estructura general y las relaciones de trabajo en la compañía.
Muestra quién depende de quién.
Indica alguna de las peculiaridades importantes de la estructura de una compañía, sus puntos fuertes y débiles.
Sirve como historia de los cambios, instrumentos de enseñanza y medio de información al público acerca de las relaciones de trabajo de la compañía.
Son apropiados para lograr que los principios de la organización operen.
Indica a los administradores y al personal nuevo la forma como se integran a la organización
Funciones principales de la
informática
Entre las funciones principales de la informática se cuentan las siguientes:Creación de nuevas especificaciones de trabajo.Desarrollo e implementación de sistemas informáticos.Sistematización de procesos.Optimización de los métodos y sistemas informáticos existentes.Objetivos.
Objetivos de la Auditoria
informática
El control de la función informática
El análisis de la eficiencia de los
Sistemas Informáticos
La verificación del cumplimiento de la
Normativa en este ámbito
La revisión de la eficaz gestión de los
recursos informáticos.
Actividad de aprendizaje
En base en los objetivos de la función
informática y la auditoría informática se
le ha solicitado establecer el
organigrama de funciones del
departamento de sistemas de una
empresa
Elaborar el trabajo en equipo y
publicarlo en el foro
Como evaluar la organización del
personal
¿Cuál seria mi instrumento de
evaluación, cuales serian las rubricas?
Valoración de sistemas
El plan estratégico deberá establecer
los servicios que se presentarán en un
futuro contestando preguntas como las
siguientes:
¿Cuáles servicios se implementarán?
¿Cuándo se pondrán a disposición de los
usuarios?
¿Qué características tendrán?
¿Cuántos recursos se requerirán?
Valoración de sistemas
La estrategia de desarrollo deberá establecer las nuevas aplicaciones, recursos y la arquitectura en que estarán fundamentados: ¿Qué aplicaciones serán desarrolladas y cuando?
¿Qué tipo de archivos se utilizarán y cuando?
¿Qué bases de datos serán utilizarán y cuando?
¿Qué lenguajes se utilizarán y en que software?
¿Qué tecnología será utilizada y cuando se implementará?
¿Cuantos recursos se requerirán aproximadamente?
¿Cuál es aproximadamente el monto de la inversiónen hardware y software?
Valoración de sistemas
En lo referente a la consulta a los usuarios, el plan estratégico debe definir los requerimientos de información de la dependencia.
¿Qué estudios van a ser realizados al respecto?
¿Qué metodología se utilizará para dichos estudios?
¿Quién administrará y realizará dichos estudios?
Valoración de sistemas
Para investigar el costo de un sistema se debe considerar, con una exactitud razonable, el costo de los programas, el uso de los equipos (compilaciones, programas, pruebas, paralelos), tiempo, personal y operación, cosa que en la práctica son costos directos, indirectos y de operación.
Los beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en los costosde operación, la reducción del tiempo de proceso de un sistema. Mayor exactitud, mejor servicio, una mejoría en los procedimientos de control, mayor confiabilidad y seguridad.
Actividad de aprendizaje
Se le solicita la valoración de la
implementación de un sistema de
control escolar para una escuela.
El proceso de planeación de sistemas deberá asegurarse de que todos los recursos requeridos estén claramente identificados en el plan de desarrollo de aplicaciones y datos. Estos recursos (hardware, software y comunicaciones) deberán ser compatibles con la arquitectura y la tecnología, conque se cuenta actualmente.
Los sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente siguen: requerimientos del usuario, estudio de factibilidad, diseño general, análisis, diseño lógico, desarrollo físico, pruebas, implementación, evaluación, modificaciones, instalación, mejoras. Y se vuelve nuevamente al ciclo inicial, el cual a su vez debe comenzar con el de factibilidad.
Para investigar el costo de un sistema se debe considerar, con una exactitud razonable, el costo de los programas, el uso de los equipos (compilaciones, programas, pruebas, paralelos), tiempo, personal y operación, cosa que en la práctica son costos directos, indirectos y de operación.
Los beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en los costosde operación, la reducción del tiempo de proceso de un sistema. Mayor exactitud, mejor servicio, una mejoría en los procedimientos de control, mayor confiabilidad y seguridad.
La auditoría en sistemas debe evaluar los documentos y registros usados en la elaboración del sistema, así como todas las salidas y reportes, la descripción de las actividades de flujo de la información y de procedimientos, los archivos almacenados, su uso y su relación con otros archivos y sistemas, su frecuencia de acceso, su conservación, su seguridad y control, la documentación propuesta, las entradas y salidas del sistema y los documentos fuentes a usarse.
Con la información obtenida podemos contestar a las siguientes preguntas: ¿Se está ejecutando en forma correcta y
eficiente el proceso de información?
¿Puede ser simplificado para mejorar su aprovechamiento?
¿Se debe tener una mayor interacción con otros sistemas?
¿Se tiene propuesto un adecuado control y seguridad sobre el sistema?
¿Está en el análisis la documentación
Evaluación del Diseño lógico del
Sistema En esta etapa se deberán analizar las
especificaciones del sistema.
¿Qué deberá hacer?, ¿Cómo lo deberá hacer?, ¿Secuencia y ocurrencia de los datos, el proceso y salida de reportes?
Una vez que hemos analizado estas partes, se deberá estudiar la participación que tuvo el usuario en la identificación del nuevo sistema, la participación de auditoría interna en el diseño de los controles y la determinación de los procedimientos de operación y decisión.
Puntos a evaluar
Entradas.
Salidas.
Procesos.
Especificaciones de datos.
Especificaciones de proceso.
Métodos de acceso.
Operaciones.
Manipulación de datos (antes y después del proceso electrónico de datos).
Puntos a evaluar
Proceso lógico necesario para producir informes.
Identificación de archivos, tamaño de los campos y registros.
Proceso en línea o lote y su justificación.
Frecuencia y volúmenes de operación.
Sistemas de seguridad.
Sistemas de control.
Responsables.
Número de usuarios.
Evaluación del desarrollo del
Sistema
El proceso de planeación de sistemas debe definir la red óptima de comunicaciones, los tipos de mensajes requeridos, el tráfico esperado en las líneas de comunicación y otros factores que afectan el diseño. Es importante considerar las variables que afectan a un sistema: ubicación en los niveles de la organización, el tamaño y los recursos que utiliza
Puntos a Evaluar
Oportunos (que esté la información en el momento que se requiere).
Funcionales (que proporcionen la información adecuada a cada nivel).
Estándar (que la información tenga la misma interpretación en los distintos niveles).
Modulares (facilidad para ser expandidos o reducidos).
Jerárquicos (por niveles funcionales).
Seguros (que sólo las personas autorizadas tengan acceso).
Únicos (que no duplique información).
Puntos a Evaluar
Dinámicos (susceptibles de modificarse).
Estructurados (las interacciones de sus componentes o subsistemas deben actuar como un todo)
Integrados (un solo objetivo). En él habrá sistemas que puedan ser interrelacionados y no programas aislados.
Accesibles (que estén disponibles).
Necesarios (que se pruebe su utilización).
Comprensibles (que contengan todos los atributos).
Actividad de Aprendizaje
Evaluación de Sistemas
¿Cómo evaluarías el sistema de
transporte de una ciudad?
¿Cuáles son los puntos a evaluar?
¿Cómo evaluarías cada uno de los
puntos?
Presenta una propuesta en clase
Entrevista con el usuario
La entrevista se deberá llevar a cabo para comprobar datos proporcionados y la situación de la dependencia en el departamento de Sistemas de Información .
Su objeto es conocer la opinión que tienen los usuarios sobre los servicios proporcionados, así como la difusión de las aplicaciones de la computadora y de los sistemas en operación.
Las entrevistas se deberán hacer, en caso de ser posible, a todos los usuarios o bien en forma aleatoria a algunos de los usuarios, tanto de los más importantes como de los de menor importancia, en cuanto al uso del equipo.
Para verificar si los servicios que se proporcionan a los usuarios son los requeridos y se están proporcionando en forma adecuada, cuando menos será preciso considerar la siguiente información. Descripción de los servicios prestados.
Criterios de evaluación que utilizan los usuarios para evaluar el nivel del servicio prestado.
Reporte periódico del uso y concepto del usuario sobre el servicio.
Registro de los requerimientos planteados por el usuario.
Entrevista
Audit - Entrevita usuario.docx
Controles
Los datos son uno de los recursos más
valiosos de las organizaciones y,
aunque son intangibles, necesitan ser
controlados y auditados con el mismo
cuidado que los demás inventarios de la
organización, por lo cual se debe tener
presente:
a) La responsabilidad de los datos es compartida conjuntamente por alguna función determinada y el departamento de cómputo.
b) Un problema de dependencia que se debe considerar es el que se origina por la duplicidad de los datos y consiste en poder determinar los propietarios o usuarios posibles.
c) Los datos deberán tener una clasificación estándar y un mecanismo de identificación que permita detectar duplicidad y redundancia.
d) Se deben relacionar los elementos de los datos con las bases de datos donde están almacenados, así como los reportes y grupos de procesos donde son generados.
Control de la Fuente y Datos
La mayoría de los Delitos por
computadora son cometidos por
modificaciones de datos fuente al:
Suprimir u omitir datos.
Adicionar Datos.
Alterar datos.
Duplicar procesos.
Actividad de aprendizaje
Defina controles para evitar:
Suprimir u omitir datos.
Adicionar Datos.
Alterar datos.
Duplicar procesos.
El Informe de Auditoría es la
comunicación de auditor informático al
cliente, de manera formal, tanto del
alcance de la auditoría; (objetivos,
período de cobertura, naturaleza, y
extensión del trabajo realizado) como de
resultados y conclusiones.
Previo a la redacción del informe, el auditor distingue lo significativo de lo que no lo es evaluándolos de manera adecuada de acuerdo a su importancia y a la vinculación con el factor riesgo.
Aunque no existe un formato oficial, si existen esquemas recomendados con los requisitos mínimos aconsejables respecto a la estructura y contenido.
En cuanto a la redacción el informe deberá ser claro, adecuado, suficiente y comprensible.
Presentación de conclusiones
Una breve descripción de la situación actual en la cual se reflejan los puntos más importantes.
una descripción detallada que comprende: Los problemas detectados.
Posibles causas, problemas y fallas que originaron la situación presentada.
Repercusiones que pueden tener los problemas detectados.
Alternativas de solución.
Comentario y observaciones de la Dirección de Informática y de los usuarios sobre las soluciones propuestas.
Si se opta por una alternativa de solución, cuáles son sus repercusiones, ventajas y desventajas, y tiempo estimado para efectuar el cambio.
Debe hacerse hincapié en cómo se
corregirá el problema o se mejorará una
determinada situación, se obtendrán los
beneficios, en cuanto tiempo y cuales son
los puntos débiles.
Se debe romper la resistencia a la lectura
que tienen algunos ejecutivos por medio
de conclusiones concretas (tratar de que
se entiendan los términos técnicos, de ser
posible utilizar técnicas audiovisuales)
Informe de auditoria
Identificación del informe: un nombre que lo identifique de otros informes.
Identificación del cliente: destinatarios y personas que solicitan la auditoría. Ejemplo: DHC Marcelo Martínez. Profesor titular efectivo UNLaR
Identificación de la entidad auditada: organización/entidad/área objeto de la auditoria informática. Ejemplo: Aplicación School. Cátedra de Auditoria de sistemas. UNLaR – ciclo 2008
Objetivos de la auditoria informática: identificar el propósito de la auditoria. Ejemplo: Inspección del diccionario de datos de la aplicación School.
Alcance de la auditoria: Naturaleza y extensión del trabajo, a saber: Área de la organización: Ejemplo: Catedra de AS
Periodo de la auditoria: Ejemplo: 01/10/08 al 8/10/08
Sistemas/áreas a auditar: Ejemplo: Aplicación School -DD
Herramientas utilizadas: Ejemplo: Aplicación School –Data Modeler
Limitaciones al alcance: Ejemplo: No se audita el contenido de las tablas, sino su diseño y estructura en cuanto a la normalización de datos según el modelo de Boyce Codd.
Restricciones del objeto auditado: Ejemplo: No existen. Se provee todo el sistema en su versión de fuentes, ejecutables, ayudas y accesorios.-