metodología de una auditoría de sistemas...

Universidad Autónoma de los AndesUniversidad Autónoma de los Andes

Evaluación y Auditoría InformáticaEvaluación y Auditoría InformáticaUnidad 1:Unidad 1:

Metodología de una Auditoría de Sistemas Metodología de una Auditoría de Sistemas Metodología de una Auditoría de Sistemas Metodología de una Auditoría de Sistemas

Computacionales Computacionales -- ASCASC

Ing. John Ing. John ToasaToasa EspinozaEspinoza

http://waudinfingjohntoasa.wikispaces.comhttp://waudinfingjohntoasa.wikispaces.com

[email protected][email protected]

Puyo, 2010Puyo, 2010

AgendaAgenda

•• ObjetivoObjetivo

•• ConceptosConceptos

•• Objetivos generales de la auditoríaObjetivos generales de la auditoría

•• Objetivos generales de la ASCObjetivos generales de la ASC

•• Principales áreas, actividades y resultados que se auditan Principales áreas, actividades y resultados que se auditan en la Auditoría y en la ASC.en la Auditoría y en la ASC.

•• Que se debe evaluar en una ASCQue se debe evaluar en una ASC•• Que se debe evaluar en una ASCQue se debe evaluar en una ASC

•• Normas éticoNormas ético--morales del Auditor Informáticomorales del Auditor Informático

•• Métodos, técnicas, herramientas y procedimientos de Métodos, técnicas, herramientas y procedimientos de auditoría de sistemasauditoría de sistemas

•• Representación esquemática de la Metodología para Representación esquemática de la Metodología para realizar ASC (metodología y planeación)realizar ASC (metodología y planeación)

•• ConclusionesConclusiones

•• Taller y trabajo final (caso práctico)Taller y trabajo final (caso práctico)

ObjetivoObjetivo

ProponerProponer unauna metodologíametodología específicaespecífica quequepuedepuede serser aplicableaplicable aa lala realizaciónrealización dedecualquiercualquier tipotipo dede auditoríaauditoría enen elel campocampo dede

sistemassistemas computacionalescomputacionales,, concon elel propósitopropósito dedemostrarmostrar unauna formaforma concretaconcreta dede llevarllevar aa cabocabo lalamostrarmostrar unauna formaforma concretaconcreta dede llevarllevar aa cabocabo lalaplaneación,planeación, selecciónselección dede herramientas,herramientas,desarrollodesarrollo yy presentaciónpresentación dede loslos resultadosresultados dedeestasestas auditoríasauditorías..

Conceptos…Conceptos… Según: Real Academia EspañolaSegún: Real Academia Española

QuéQué eses AuditoriaAuditoria ??

EsEs lala revisiónrevisión independienteindependiente dede algunaalguna oo algunasalgunasactividadesactividades,, funcionesfunciones específicasespecíficas,, resultadosresultados uuoperacionesoperaciones dede unauna entidadentidad administrativaadministrativa,, realizadarealizada porporunun profesionalprofesional dede auditoríaauditoría,, concon elel propósitopropósito dedeevaluarevaluar susu correctacorrecta funcionalidadfuncionalidad,, yy concon basebase enenevaluarevaluar susu correctacorrecta funcionalidadfuncionalidad,, yy concon basebase eneneseese análisisanálisis,, poderpoder emitiremitir unauna opiniónopinión autorizadaautorizadasobresobre lala razonabilidadrazonabilidad dede sussus resultadosresultados yy elelcumplimientocumplimiento dede sussus operacionesoperaciones..

QuéQué eses AuditoríaAuditoría InformáticaInformática óó AuditoríaAuditoría dedeSistemasSistemas óó AuditoríaAuditoría dede SistemasSistemasComputacionalesComputacionales óó ………….. .. ????????????

EsEs lala revisiónrevisión técnicatécnica yy especializadaespecializada queque sese realizarealiza

Conceptos… Conceptos… Según: Real Academia EspañolaSegún: Real Academia Española

EsEs lala revisiónrevisión técnicatécnica yy especializadaespecializada queque sese realizarealizaaa loslos sistemassistemas dede unauna empresa,empresa, concon elel propósitopropósito dedeevaluarevaluar elel usouso adecuadoadecuado dede estosestos sistemassistemas enenrelaciónrelación concon loslos serviciosservicios queque proporcionanproporcionan estosestossistemassistemas..


QuéQué eses unun AuditorAuditor ??

PersonaPersona capacitadacapacitada parapara realizarrealizar auditoríasauditorías enenempresasempresas uu otrasotras institucionesinstituciones..

EnEn elel informeinforme loslos auditoresauditores dandan unauna opiniónopiniónindependienteindependiente dede lala organizaciónorganización..

Objetivos generales de la AuditoriaObjetivos generales de la Auditoria

1.1. RealizarRealizar unauna revisiónrevisión independienteindependiente dede laslasactividadesactividades..

2.2. HacerHacer unauna revisiónrevisión especializadaespecializada dede laslasactividadesactividades..actividadesactividades..

3.3. EvaluarEvaluar elel cumplimientocumplimiento dede laslas actividadesactividades..

4.4. DictaminarDictaminar dede maneramanera profesionalprofesional eeindependienteindependiente sobresobre loslos resultadosresultados obtenidosobtenidosenen esasesas actividadesactividades..

Objetivos generales de la ASCObjetivos generales de la ASC

1.1. RealizarRealizar unauna evaluaciónevaluación concon personalpersonalmultidisciplinariomultidisciplinario yy capacitadocapacitado enen elel áreaárea dedesistemassistemas..

2.2. HacerHacer unauna evaluaciónevaluación sobresobre elel usouso dede loslos2.2. HacerHacer unauna evaluaciónevaluación sobresobre elel usouso dede loslosrecursorecurso financierosfinancieros..

3.3. EvaluarEvaluar elel usouso yy aprovechamientoaprovechamiento dede loslosequiposequipos dede cómputocómputo..

4.4. EvaluarEvaluar elel aprovechamientoaprovechamiento dede loslos sistemassistemas dedeprocesamientoprocesamiento..

Objetivos generales de la ASCObjetivos generales de la ASC

5.5. EvaluarEvaluar elel cumplimientocumplimiento dede laslas actividadesactividades..

6.6. RealizarRealizar lala evaluaciónevaluación dede laslas áreasáreas concon elel apoyoapoyo dedeloslos sistemassistemas computacionalescomputacionales..

Se relacionan unos con otros

Objetivos generales de la Auditoría

Objetivos generales de la ASC

Qué se debe evaluar en una ASC ?Qué se debe evaluar en una ASC ?

•• HardwareHardware

•• SoftwareSoftware

•• Gestión informáticaGestión informática

•• InformaciónInformación•• InformaciónInformación

•• Diseño de sistemasDiseño de sistemas

•• Bases de datosBases de datos

•• SeguridadSeguridad

•• Redes de cómputoRedes de cómputo

•• EspecializadasEspecializadas

Clasificación de la ASCClasificación de la ASC1.1. Auditoría con la computadoraAuditoría con la computadora2.2. Auditoría sin la computadoraAuditoría sin la computadora3.3. Auditoría a la gestión informáticaAuditoría a la gestión informática4.4. Auditoría al sistema de cómputoAuditoría al sistema de cómputo5.5. Auditoría alrededor de la computadoraAuditoría alrededor de la computadora5.5. Auditoría alrededor de la computadoraAuditoría alrededor de la computadora6.6. Auditoría de la seguridad de sistemas computacionalesAuditoría de la seguridad de sistemas computacionales7.7. Auditoría a los sistemas de redesAuditoría a los sistemas de redes8.8. Auditoría integral a los centros de cómputoAuditoría integral a los centros de cómputo9.9. Auditoría ISOAuditoría ISO--9000 a los sistemas de computacionales9000 a los sistemas de computacionales10.10. Auditoría OutsourcingAuditoría Outsourcing11.11. Auditoría ergonómica de sistemas computacionalesAuditoría ergonómica de sistemas computacionales

Métodos, técnicas, herramientas y procedimientos Métodos, técnicas, herramientas y procedimientos de ASCde ASC

1.1. InstrumentosInstrumentos dede recopilaciónrecopilación dede datosdatos aplicablesaplicables enen lalaauditoríaauditoría dede sistemassistemas..•• Entrevistas,Entrevistas, cuestionarios,cuestionarios, encuestas,encuestas, observación,observación, inventarios,inventarios,muestreo,muestreo, experimentaciónexperimentación..

2.2. TécnicasTécnicas dede evaluaciónevaluación aplicablesaplicables enen lala auditoríaauditoría dedesistemassistemas..sistemassistemas..•• Examen,Examen, inspección,inspección, confirmación,confirmación, comparación,comparación, revisiónrevisióndocumentaldocumental..

3.3. TécnicasTécnicas especialesespeciales parapara lala auditoríaauditoría dede sistemassistemascomputacionalescomputacionales..•• GuíasGuías dede evaluación,evaluación, ponderación,ponderación, simulación,simulación, evaluación,evaluación,diagramadiagrama deldel círculocírculo dede sistemas,sistemas, diagramasdiagramas dede sistemas,sistemas, matrizmatrizdede evaluación,evaluación, programasprogramas dede verificación,verificación, seguimientoseguimiento dedeprogramaciónprogramación..

Normas ético Normas ético –– morales profesionales morales profesionales del auditordel auditor

EstasEstas sonson laslas normasnormas éticoético--moralesmorales queque regulanregulan lalaactuaciónactuación deldel auditorauditor..

––Normas para la capacitación del auditor.Normas para la capacitación del auditor.

––Normas para la conducta observable del auditor.Normas para la conducta observable del auditor.

––Normas para el desarrollo del trabajo del auditor.Normas para el desarrollo del trabajo del auditor.

––Normas para la emisión del informe de auditoría.Normas para la emisión del informe de auditoría.

Representación esquemática de la Representación esquemática de la metodología de ASCmetodología de ASC

Planeación Ejecución Dictamen

METODOLOGIA

Para que nos permita

3

Realizar un proceso

de

PLANEACION

Para que nos permita EJECUTAR la METODOLOGIA

2

1

Consideraciones metodológicasConsideraciones metodológicas

•• UnaUna metodologíametodología eses necesarianecesaria parapara queque ununequipoequipo dede profesionalesprofesionales alcancenalcancen ununresultadoresultado homogéneohomogéneo enen equiposequipos dede trabajotrabajoheterogéneosheterogéneos..

•• Las Las metodologíasmetodologías usadas usadas por unpor un profesionalprofesional•• Las Las metodologíasmetodologías usadas usadas por unpor un profesionalprofesionaldicen mucho de su forma de dicen mucho de su forma de entender su entender su trabajotrabajo..

La informática ha sido tradicionalmente una materia compleja en todos sus aspectos.


•• MétodoMétodo,, eses elel modomodo dede decirdecir oo hacerhacer unauna cosacosa..•• MetodologíaMetodología,, conjuntoconjunto dede métodosmétodos queque sesesiguensiguen enen unauna investigacióninvestigación científicacientífica oo enen unaunaexposiciónexposición doctrinaldoctrinal..exposiciónexposición doctrinaldoctrinal..–– EstoEsto significasignifica queque cualquiercualquier procesoproceso científicocientífico debedebeestarestar sujetosujeto aa unauna disciplinadisciplina dede procesoproceso definidadefinida conconanterioridadanterioridad..

–– SonSon necesariasnecesarias parapara desarrollardesarrollar cualquiercualquier proyectoproyectoqueque nosnos propongamospropongamos dede maneramanera ordenadaordenada yy eficazeficaz


•• PlaneaciónPlaneación,, eses elel procesoproceso dede decidirdecidir dedeantemanoantemano quéqué sese haráhará yy dede quéqué maneramanera,, lala cualcualtienetiene unauna implicaciónimplicación futurafutura..

•• PlanPlan,, eses unun métodométodo detalladodetallado formuladoformulado dede•• PlanPlan,, eses unun métodométodo detalladodetallado formuladoformulado dedeantemanoantemano,, parapara hacerhacer algoalgo..

•• ProgramaPrograma,, sonson cursoscursos dede acciónacción detalladosdetalladosqueque señalanseñalan loslos pasospasos específicosespecíficos queque habránhabrán dederealizarserealizarse parapara lograrlograr loslos objetivosobjetivos,, indicandoindicandolala secuenciasecuencia cronológicacronológica yy loslos tiempostiempos dededuraciónduración dede dichosdichos pasospasos..


•• ActividadActividad,, eses elel conjuntoconjunto dede operacionesoperacionesejecutadasejecutadas óó dede actosactos,, desarrolladosdesarrollados porpor unauna oovariasvarias personaspersonas yy queque contribuyencontribuyen alal logrologro dede unaunafunciónfunción..

•• TareaTarea,, eses lala subdivisiónsubdivisión deldel trabajotrabajo paraparaconcretizarconcretizar unauna actividadactividad..concretizarconcretizar unauna actividadactividad..

•• PlanPlan dede trabajotrabajo,, eses lala representaciónrepresentación gráficagráfica enenlala queque sese muestranmuestran laslas actividadesactividades queque integranintegranunun proyectoproyecto,, elel periodoperiodo dede tiempotiempo necesarionecesario parapararealizarrealizar cadacada unauna dede ellasellas yy sussus responsablesresponsables asíasícomocomo loslos dede cadacada actividadactividad..

Etapas de la metodología de ASCEtapas de la metodología de ASC

1.1. PlaneaciónPlaneación dede lala AAuditoriauditoria dede SSistemasistemasCComputacionalesomputacionales..

2.2. EjecuciónEjecución dede lala AAuditoriauditoria dede SSistemasistemas2.2. EjecuciónEjecución dede lala AAuditoriauditoria dede SSistemasistemasCComputacionalesomputacionales..

3.3. DictamenDictamen dede lala AAuditoriauditoria dede SSistemasistemasCComputacionalesomputacionales..

1.1. Planeación de la Auditoria de Sistemas Planeación de la Auditoria de Sistemas ComputacionalesComputacionales

•• ElEl primerprimer pasopaso parapara realizarrealizar unauna auditoríaauditoría enen sistemassistemascomputacionalescomputacionales eses definirdefinir laslas actividadesactividades necesariasnecesarias

parapara susu ejecuciónejecución,, lolo cualcual sese lograrálogrará mediantemediante unaunaadecuadaadecuada planeaciónplaneación dede éstaséstas..

•• EstaEsta fasefase dede planeaciónplaneación culminaculmina concon lala elaboraciónelaboraciónformalformal dede planesplanes,, programasprogramas yy presupuestospresupuestos enendocumentosdocumentos queque sirvensirven parapara consultaconsulta yy controlcontrol dede laslasactividadesactividades dede revisiónrevisión..

1. Planeación de la Auditoria de Sistemas 1. Planeación de la Auditoria de Sistemas ComputacionalesComputacionales

•• SeSe debedebe iniciariniciar concon elel planteamientoplanteamiento dede laslassiguientessiguientes interrogantesinterrogantes::–– ¿Porqué¿Porqué sese realizarárealizará lala auditoría?auditoría?

–– ¿Se¿Se debedebe hacerhacer unauna visitavisita preliminarpreliminar alal áreaárea dede–– ¿Se¿Se debedebe hacerhacer unauna visitavisita preliminarpreliminar alal áreaárea dedesistemas?sistemas?

–– ¿Cuál¿Cuál eses elel objetivoobjetivo queque sese pretendepretende alcanzaralcanzar conconestaesta auditoría?auditoría?

11. . Planeación de la Auditoria de Sistemas Planeación de la Auditoria de Sistemas ComputacionalesComputacionales

PP..11 IdentificarIdentificar elel origenorigen dede lala auditoríaauditoría..PP..22 RealizarRealizar unauna visitavisita preliminarpreliminar alal áreaárea queque seráserá

evaluadaevaluada..PP..33 EstablecerEstablecer loslos objetivosobjetivos dede lala auditoríaauditoría..PP..44 DeterminarDeterminar loslos puntospuntos queque seránserán evaluadosevaluados enen lala

auditoríaauditoría..auditoríaauditoría..PP..55 ElaborarElaborar planes,planes, programasprogramas yy presupuestospresupuestos parapara

realizarrealizar lala auditoríaauditoría..PP..66 IdentificarIdentificar yy seleccionarseleccionar loslos métodos,métodos,

procedimientos,procedimientos, instrumentosinstrumentos yy herramientasherramientasnecesariasnecesarias parapara lala auditoríaauditoría..

PP..77 AsignarAsignar loslos recursosrecursos yy sistemassistemas computacionalescomputacionalesparapara lala auditoríaauditoría..

2. Ejecución de la Auditoria de Sistemas 2. Ejecución de la Auditoria de Sistemas ComputacionalesComputacionales

•• EstaEsta determinadadeterminada porpor laslas característicascaracterísticasconcretas,concretas, loslos puntospuntos yy requerimientosrequerimientos queque seseestimaronestimaron enen lala etapaetapa dede planeaciónplaneación..

•• SeSe debedebe aplicaraplicar dede acuerdoacuerdo concon lala planeaciónplaneación•• SeSe debedebe aplicaraplicar dede acuerdoacuerdo concon lala planeaciónplaneación

dede lala auditoríaauditoría yy dede acuerdoacuerdo aa laslascaracterísticascaracterísticas específicasespecíficas dede lala auditoríaauditoríaqueque sese tratetrate..

2. Ejecución de la Auditoria de Sistemas 2. Ejecución de la Auditoria de Sistemas ComputacionalesComputacionales

EE..11 RealizarRealizar laslas accionesacciones programadasprogramadas parapara lalaauditoríaauditoría..

EE..22 AplicarAplicar loslos instrumentosinstrumentos yy herramientasherramientas paraparalala auditoríaauditoría..

EE..33 IdentificarIdentificar yy elaborarelaborar loslos documentosdocumentos dedeEE..33 IdentificarIdentificar yy elaborarelaborar loslos documentosdocumentos dededesviacionesdesviaciones encontradasencontradas..

EE..44 ElaborarElaborar elel dictamendictamen preliminarpreliminar yy presentarlopresentarloaa discusióndiscusión..

EE..55 IntegrarIntegrar elel legadolegado dede papelespapeles dede trabajotrabajo dede lalaauditoríaauditoría..

3. Dictamen de la Auditoria de Sistemas 3. Dictamen de la Auditoria de Sistemas ComputacionalesComputacionales

DD..11 AnalizarAnalizar lala informacióninformación yy elaborarelaborar ununinformeinforme dede situacionessituaciones detectadasdetectadas..

-- ElEl propósitopropósito eses queque elel auditorauditor elaboreelabore susu borradorborrador yy comentecomentelaslas desviacionesdesviaciones concon loslos auditadosauditados.. ..

-- Después,Después, debedebe elaborarelaborar laslas modificacionesmodificaciones pertinentespertinentes..-- Después,Después, debedebe elaborarelaborar laslas modificacionesmodificaciones pertinentespertinentes..

DD..22 ElaborarElaborar elel dictamendictamen finalfinal..-- SeSe presentapresenta aa loslos directivosdirectivos deldel áreaárea auditadaauditada..

DD..33 PresentarPresentar elel informeinforme dede auditoríaauditoría..-- SeSe presentapresenta alal másmás altoalto directivodirectivo dede lala empresaempresa..-- EnEn mediomedio dede unauna reuniónreunión directivadirectiva..


DD..11 AnalizarAnalizar lala informacióninformación yy elaborarelaborar unun informeinformedede situacionessituaciones detectadasdetectadas..

DD..11..11 AnalizarAnalizar loslos papelespapeles dede trabajotrabajo..DD..11..22 SeñalarSeñalar laslas situacionessituaciones encontradasencontradas..DD..11..22 SeñalarSeñalar laslas situacionessituaciones encontradasencontradas..DD..11..33 ComentarComentar laslas situacionessituaciones encontradasencontradas concon

elel personalpersonal dede laslas áreasáreas..DD..11..44 RealizarRealizar laslas modificacionesmodificaciones necesariasnecesarias..DD..11..55 ElaborarElaborar unun documentodocumento dede situacionessituaciones

relevantesrelevantes..


D.2 Elaborar el dictamen final.D.2 Elaborar el dictamen final.

D.2.1 Analizar la información y elaborar un D.2.1 Analizar la información y elaborar un

documento de desviaciones detectadas.documento de desviaciones detectadas.

D.2.2 Elaborar el informe y el dictamen formales.D.2.2 Elaborar el informe y el dictamen formales.D.2.2 Elaborar el informe y el dictamen formales.D.2.2 Elaborar el informe y el dictamen formales.

D.2.3 Comentar el informe y el dictamen con losD.2.3 Comentar el informe y el dictamen con los

directivos del área.directivos del área.

D.2.4 Realizar las modificaciones necesarias.D.2.4 Realizar las modificaciones necesarias.


D.3 Presentar el informe de auditoría.D.3 Presentar el informe de auditoría.

D.3.1 Elaboración del dictamen formal.D.3.1 Elaboración del dictamen formal.

D.3.2 Integración del informe de auditoría.D.3.2 Integración del informe de auditoría.

D.3.3 Presentación del informe de auditoría.D.3.3 Presentación del informe de auditoría.D.3.3 Presentación del informe de auditoría.D.3.3 Presentación del informe de auditoría.

D.3.4 Integración de los papeles de trabajo.D.3.4 Integración de los papeles de trabajo.

Propuesta de papeles de trabajo para la Propuesta de papeles de trabajo para la ASCASC

1.1. Hoja de identificaciónHoja de identificación

2.2. Ïndice de contenidos de los papeles de trabajoÏndice de contenidos de los papeles de trabajo

3.3. Dictamen preliminar (borrador)Dictamen preliminar (borrador)

4.4. Resumen de desviaciones detectadas (las más Resumen de desviaciones detectadas (las más 4.4. Resumen de desviaciones detectadas (las más Resumen de desviaciones detectadas (las más importantes)importantes)

5.5. Situaciones encontradas (situaciones, causas y Situaciones encontradas (situaciones, causas y soluciones)soluciones)

6.6. Programa de trabajo de auditoríaPrograma de trabajo de auditoría

7.7. Guía de auditoríaGuía de auditoría


8.8. Inventario de SWInventario de SW9.9. Inventario de HWInventario de HW10.10. Inventario de consumiblesInventario de consumibles11.11. Manual de organizaciónManual de organización11.11. Manual de organizaciónManual de organización12.12. Descripción de puestosDescripción de puestos13.13. Reportes de pruebas y resultadosReportes de pruebas y resultados14.14. Respaldos (backups) de datos, disquets y programas Respaldos (backups) de datos, disquets y programas

de aplicación de auditoríade aplicación de auditoría15.15. Respaldos (backups) de las BD y de los sistemasRespaldos (backups) de las BD y de los sistemas


16.16. Guías de claves para el señalamiento de los papeles de Guías de claves para el señalamiento de los papeles de trabajotrabajo

17.17. Cuadros y estadísticas concentradores de informaciónCuadros y estadísticas concentradores de información18.18. Anexos de recopilación de informaciónAnexos de recopilación de información19.19. Diagramas de flujo, de programación y de desarrollo Diagramas de flujo, de programación y de desarrollo 19.19. Diagramas de flujo, de programación y de desarrollo Diagramas de flujo, de programación y de desarrollo

de sistemasde sistemas20.20. Testimoniales, actas y documentos legales de Testimoniales, actas y documentos legales de

comprobación y confirmacióncomprobación y confirmación21.21. Análisis y estadísticas de resultados, datos y pruebas Análisis y estadísticas de resultados, datos y pruebas

de comportamiento del sistema.de comportamiento del sistema.22.22. Otros documentos de apoyo para el auditorOtros documentos de apoyo para el auditor

Propuesta de puntos que se deben Propuesta de puntos que se deben evaluar en una ASCevaluar en una ASC

1.1. Auditoría con la computadoraAuditoría con la computadora2.2. Auditoría sin la computadoraAuditoría sin la computadora3.3. Auditoría a la gestión informática del área de sistemasAuditoría a la gestión informática del área de sistemas4.4. Auditoría al sistema computacionalAuditoría al sistema computacional5.5. Auditoría alrededor de la computadoraAuditoría alrededor de la computadora5.5. Auditoría alrededor de la computadoraAuditoría alrededor de la computadora6.6. Auditoría de la seguridad de los sistemas computacionalesAuditoría de la seguridad de los sistemas computacionales7.7. Auditoría a los sistemas de redesAuditoría a los sistemas de redes8.8. Auditoría outsourcing en los sistemas computacionalesAuditoría outsourcing en los sistemas computacionales9.9. Auditoría ISO 9000 a los sistemas computacionalesAuditoría ISO 9000 a los sistemas computacionales10.10. Auditoría ergonómica de los sistemas de cómputoAuditoría ergonómica de los sistemas de cómputo11.11. Auditoría integral a los centros de computoAuditoría integral a los centros de computo

Planeación de la ASCPlaneación de la ASC

•• ParaPara hacerhacer unauna adecuadaadecuada planeaciónplaneación dede lala ASCASChayhay queque seguirseguir unauna serieserie dede pasospasos previosprevios quequepermitanpermitan dimensionardimensionar elel tamañotamaño yy característicascaracterísticasdeldel áreaárea dentrodentro deldel organismoorganismo aa auditar,auditar, sussussistemas,sistemas, organizaciónorganización yy equiposequipos..

•• LaLa planeaciónplaneación permitepermite determinardeterminar::•• LaLa planeaciónplaneación permitepermite determinardeterminar::–– PersonalPersonal (número(número yy características)características)..–– HerramientasHerramientas necesariasnecesarias..–– TiempoTiempo yy costocosto..–– DefinirDefinir elel alcancealcance yy loslos objetivosobjetivos..–– PoderPoder elaborarelaborar elel contratocontrato dede serviciosservicios..


Eje 1: Propuesta de servicios para ASCEje 1: Propuesta de servicios para ASC

•• ANTECEDENTESANTECEDENTES

•• OBJETIVOS DE LA AUDITORÍA INFORMÁTICAOBJETIVOS DE LA AUDITORÍA INFORMÁTICA•• OBJETIVOS DE LA AUDITORÍA INFORMÁTICAOBJETIVOS DE LA AUDITORÍA INFORMÁTICA

•• ALCANCES DEL PROYECTOALCANCES DEL PROYECTO

•• METODOLOGÍAMETODOLOGÍA

•• TIEMPO Y COSTOTIEMPO Y COSTO


Eje 2: Propuesta de contrato de ASCEje 2: Propuesta de contrato de ASC

1.1. QUIENES CELEBRANQUIENES CELEBRAN2.2. QUÉ DECLARAN QUÉ DECLARAN 3.3. CUÁLES SON LAS CLÁUSULASCUÁLES SON LAS CLÁUSULAS3.3. CUÁLES SON LAS CLÁUSULASCUÁLES SON LAS CLÁUSULAS

–– Primera. ObjetoPrimera. Objeto–– Segunda. Alcance del trabajoSegunda. Alcance del trabajo–– Tercera. Programa de trabajoTercera. Programa de trabajo–– Cuarta. Honorarios.Cuarta. Honorarios.–– Quinta. Plazo del trabajoQuinta. Plazo del trabajo–– Sexta. Jurisdicción, etcSexta. Jurisdicción, etc


•• UnaUna inadecuadainadecuada planeaciónplaneación provocaráprovocará unauna serieseriedede problemasproblemas queque puedenpueden impedirimpedir queque sese cumplacumplaconcon lala auditoríaauditoría óó bienbien hacerhacer queque NONO sese cumplacumplaconcon profesionalismoprofesionalismo..

•• ElEl trabajotrabajo dede AuditorAuditor InformáticoInformático deberádeberá incluirincluir::•• ElEl trabajotrabajo dede AuditorAuditor InformáticoInformático deberádeberá incluirincluir::–– LaLa planeaciónplaneación dede lala ASCASC..

–– ElEl examenexamen yy lala evaluaciónevaluación dede lala informacióninformación..

–– LaLa comunicacióncomunicación dede loslos resultadosresultados..

–– ElEl seguimientoseguimiento..

Documentación de la planeaciónDocumentación de la planeación

•• ElEl establecimientoestablecimiento dede loslos objetivosobjetivos yy elelalcancealcance deldel trabajotrabajo..

•• LaLa obtenciónobtención dede informacióninformación dede apoyoapoyo sobresobrelaslas actividadesactividades queque sese auditaránauditarán..

•• LaLa determinacióndeterminación dede loslos recursosrecursos necesariosnecesarios•• LaLa determinacióndeterminación dede loslos recursosrecursos necesariosnecesariosparapara realizarrealizar lala auditoríaauditoría..

•• ElEl establecimientoestablecimiento dede lala comunicacióncomunicaciónnecesarianecesaria concon todostodos loslos queque estaránestaráninvolucradosinvolucrados enen lala auditoríaauditoría..

Documentación de la planeaciónDocumentación de la planeación

•• RealizarRealizar unauna inspeccióninspección físicafísica paraparafamiliarizarsefamiliarizarse concon laslas actividadesactividades yy controlescontroles aaauditarauditar..

•• LaLa preparaciónpreparación porpor escritoescrito deldel programaprograma dedeauditoríaauditoría..auditoríaauditoría..

•• LaLa determinacióndeterminación dede cómocómo,, cuandocuando yy aa quiénquién

sese lele comunicarancomunicaran loslos resultadosresultados dede lalaauditoríaauditoría..

•• LaLa obtenciónobtención dede lala aprobaciónaprobación deldel planplan dedetrabajotrabajo dede lala auditoríaauditoría..

Consideraciones importantes para la Consideraciones importantes para la planeaciónplaneación

•• ParaPara lograrlograr unauna adecuadaadecuada planeación,planeación, lolo primeroprimeroqueque sese requiererequiere eses obtenerobtener informacióninformación generalgeneralsobresobre lala organizaciónorganización yy sobresobre lala funciónfunción dedeinformáticainformática aa evaluarevaluar..

•• RealizarRealizar unauna investigacióninvestigación preliminarpreliminar yy algunasalgunas•• RealizarRealizar unauna investigacióninvestigación preliminarpreliminar yy algunasalgunasentrevistasentrevistas previasprevias..

•• EnEn basebase aa lolo anterior,anterior, planearplanear elel programaprograma dedetrabajo,trabajo, elel cualcual deberádeberá incluirincluir:: tiempos,tiempos, costoscostospersonalpersonal necesarionecesario yy documentosdocumentos auxiliaresauxiliares aasolicitarsolicitar oo formularformular durantedurante elel desarrollodesarrollo dede lalaauditoríaauditoría..

Revisión preliminar Revisión preliminar -- informalinformal

•• ObjetivoObjetivo..-- EsEs elel dede obtenerobtener lala informacióninformación

necesarianecesaria parapara queque elel auditorauditor puedapueda tomartomar laladecisióndecisión dede cómocómo procederproceder enen lala auditoríaauditoría..

•• SignificaSignifica lala recolecciónrecolección dede evidenciasevidencias porpor•• SignificaSignifica lala recolecciónrecolección dede evidenciasevidencias porpormediomedio dede entrevistasentrevistas concon elel personalpersonal dede lalainstalación,instalación, lala observaciónobservación dede laslas actividadesactividades

enen lala instalacióninstalación yy lala revisiónrevisión dede laladocumentacióndocumentación preliminarpreliminar..

Revisión preliminar Revisión preliminar -- informalinformal

•• LasLas evidenciasevidencias sese puedenpueden recolectarrecolectar porpor mediomediodede cuestionarioscuestionarios iniciales,iniciales, oo bienbien porpor mediomedio dedeentrevistasentrevistas,, oo concon documentacióndocumentación narrativanarrativa..

•• DebemosDebemos considerarconsiderar queque estáestá seráserá sólosólo unauna•• DebemosDebemos considerarconsiderar queque estáestá seráserá sólosólo unaunainformacióninformación inicialinicial queque nosnos permitirápermitirá elaborarelaborarelel planplan dede trabajotrabajo,, lala cualcual sese profundizaráprofundizará enen eleldesarrollodesarrollo dede lala auditoríaauditoría..

Taller y trabajo FINALTaller y trabajo FINAL

EjecutarEjecutar lala metodologíametodología adecuadaadecuada parapara lalarealizaciónrealización dede lala AuditoriaAuditoria dede sistemassistemascomputacionalescomputacionales dede unauna empresaempresa realreal,, lala mismamismaqueque porpor cuestionescuestiones didácticasdidácticas debedebe serser aplicableaplicabledede evaluarevaluar lala auditoríaauditoría dede sistemassistemasdede evaluarevaluar lala auditoríaauditoría dede sistemassistemascomputacionalescomputacionales.. LosLos pasospasos parapara lala mismamisma sesereflejaránreflejarán enen lala wikiwiki dede AuditoriaAuditoria InformáticaInformática

metodología de una auditoría de sistemas...

Documents