Professional Documents
Culture Documents
La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales en un centro de procesamiento
de información.
La auditoría física no se debe limitar a comprobar la existencia de los medios físicos sino también su funcionalidad
racionalidad, y seguridad.
APLICABLE HA:
Cualquier actividad en la que las personas hagan uso particular o profesional de entornos físicos.
Ubicación del edificio
Ubicación del CPD dentro del edificio.
Compartimentación
Elementos de construcción
Potencia eléctrica
Sistemas contra incendios
Control de accesos
Selección de personal
Seguridad de los medios
Medidas de protección
Duplicación de medios
La revisión de la construcción y el estado de la infraestructura del edificio en sí mismo no es un objeto del que pueda
diagnosticar un auditor, sino que tendrá que apoyarse de peritos independientes que den respuesta a sus preguntas
para lograr la valoración.
LA AUDITORÍA OFIMÁTICA
Sistema automatizado que genera, procesa, almacena, recupera, comunica y presenta datos relacionados con el
funcionamiento de la oficina.
El software de ofimática comprende una serie de aplicaciones que se distribuyen de forma conjunta para así mismo
ser empleadas simultáneamente en diversos sistemas.
APLICACIONES
LA AUDITORÍA DE LA DIRECCIÓN
Siempre en una organización se dice que esta es un reflejo de las características de su dirección, los modos y maneras
de actuar de aquella están influenciadas por la filosofía y personalidad del director.
ACCIONES DE UN DIRECTOR
Planificar.
- Lectura y análisis de actas, acuerdos, etc.
- Lectura y análisis de informes gerenciales.
- Entrevistas con el mismo director del departamento y con los directores de otras áreas.
Organizar.
Controlar.
Coordinar.
PLANIFICAR
Si durante el proceso de planificación se toma en cuenta el plan estratégico de la empresa, se establecen mecanismos
de sincronización entre sus grandes hitos y los proyectos informáticos asociados y se tiene en cuenta aspectos de
cambios organizacionales, entorno legislativo, evolución tecnológica, organización informática, recursos, etc.
Examinar la descripción de las funciones para evaluar si existe una adecuada separación de éstas, y observar las
actividades desempeñadas por el personal del departamento para analizar el grado de cumplimiento de las funciones
que están documentadas para cada puesto.
AUDITORIA DE LA EXPLOTACIÓN
La Explotación Informática se dispone de una materia prima, los Datos, que es necesario transformar, y que se someten
previamente a controles de integridad y calidad.
Los controles generales son aquellos que están relacionados con todas o con la mayoría de las actividades contables
informatizadas, que generalmente incluyen controles del desarrollo de las modificaciones y del mantenimiento de
programas informáticos y controles de la utilización y modificación de los datos que se mantienen en archivos
informáticos.
1. Contrato o solicitud
2. Planificación estratégica
a. Estudio y evaluación de riesgos
b. Establecimiento de objetivos
3. Planificación técnica
a. Programa de trabajo
4. Actualización del programa de trabajo
5. Pruebas de cumplimiento
6. Pruebas sustantivas
7. Revisión del trabajo
8. Elaboración de informes
9. Distribución de informes
10. Archivar los papeles de trabajo
La auditoría del desarrollo verifica la existencia y aplicación de procedimientos de control adecuados que permitan
garantizar que el desarrollo de Sistemas de Información cumple con los principios de ingeniería, o por el contrario
determinar las deficiencias.
Se deben establecer en forma clara las funciones del área de desarrollo, por lo que se debe comprobar que: existe un
documento que contiene las funciones que corresponden al área, aprobado por la dirección de informática y que se
respeta
APLICADA:
ISACA (Information Systems Audit and Control Asociación) propone una metodología basada en administración de
riesgos, y determina controles para minimizar éstos.
Auditoría Informática: Certifica la integridad de los datos informáticos que usan los auditores financieros para
que puedan utilizar los sistemas de información.
Auditoría Financiera: Examina los estados financieros que generalmente utiliza herramientas de Software de
ayuda.
Las metodologías de auditoría informática son del tipo cualitativo/subjetivo.
Existen dos metodologías de Auditoria Informática: Auditorias de Controles Generales y Metodologías de
Auditores Internos
Auditorías de Controles Generales: Dan una opinión sobre la habilidad de los datos del computador para la
Auditoria financiera, cuyo resultado es un informe donde se destacan las vulnerabilidades encontradas.
Auditorías Internas: Está formada por recomendaciones de Plan de trabajo; deberá realizar cuestionarios y
definir cuantas pruebas estime oportunas; además debe crear sus metodologías necesarias para auditar áreas
o aspectos que defina en el plan auditor.
Identificación de la información
Inventario de entidades de información residente y operativa
Identificación de propietarios
Definición de jerarquías de información
Definición de la matriz de clasificación
Confección de la matriz de clasificación
Realización del plan de acciones
Implantación y mantenimiento
METODOLOGÍA DE LAS AI
ETAPAS:
METODOLOGÍA DE LA AUDITORÍA
FASES DE LA AUDITORÍA
Objetivo de la auditoría Identificar el propósito de la auditoría. Por ejemplo, un objetivo podría ser que
los cambios al código fuente de los programas se realicen en un ambiente bien
definido y controlado.
Procedimientos de auditoría y • Identificar y seleccionar el método de auditoría para verificar y probar los
pasos para la recopilación de controles.
datos • Identificar una lista de personas a entrevistar
• Identificar y obtener políticas, estándares, y directrices de los
departamentos para su revisión.
• Desarrollar herramientas y metodologías de auditoría para verificar y
comprobar los controles.
Proceso de recolección y evaluación de evidencia para determinar si los SI y los recursos relacionados:
- Salvaguardan adecuadamente los activos,
- Mantienen la integridad de los datos y del sistema,
- Proveen información relevante y confiable,
- Alcanzan efectivamente los objetivos organizacionales,
- Consumen los recursos eficientemente, y
- Cuentan con controles internos que provean una seguridad razonable de que los objetivos
operacionales y de control serán satisfechos y de que los eventos no deseados serán prevenidos o
detectados y corregidos de manera oportuna.
Metodología/estrategia de auditoría
- Definición del alcance
- Definición de los objetivos de auditoría
- Definición del programa de trabajo
Fases Típicas de una Auditoría
Identificar
- El área a auditar
- El propósito de la auditoría
- Los sistemas específicos, funciones o unidades de la organización a ser incluidas en la revisión.
- Las habilidades técnicas y recursos necesarios
- Las fuentes de información para pruebas o revisión tales como diagramas de flujo funcionales,
políticas, estándares, procedimientos y papeles de trabajo de auditorías anteriores.
- Ubicación de las instalaciones a auditar.
- Selección del enfoque de auditoría para verificar y probar los controles
- Lista de personas a entrevistar
- Obtener políticas departamentales, estándares y guías para revisión
- Procedimientos para revisiones de seguimiento
- Procedimientos para evaluar/probar la eficiencia y efectividad operacional
- Procedimientos para probar controles
Desarrollar
Evidencia
Es un requerimiento que las conclusiones del auditor deben basarse en evidencia suficiente y competente
Muestreo
- Muestreo estadístico:
Es un enfoque objetivo para determinar el tamaño y los criterios de selección de la muestra.
Usa las leyes de las probabilidades para: calcular el tamaño de la muestra, seleccionar los objetos
de la muestra, y evaluar los resultados de la muestra y hacer inferencias.
Para que una muestra sea estadística, cada elemento de la población debe tener igual
probabilidad de ser seleccionado.
- Muestreo no-estadístico
El método de muestreo, el número de elementos que serán examinados en una población
(tamaño de una muestra), y cuales elementos seleccionar son determinados en base al juicio del
auditor.
Tanto el muestreo estadístico como el no-estadístico exigen que el auditor utilice su propio juicio al definir
características del muestreo, y por lo tanto sufren del riesgo de que el auditor llegue a una conclusión errónea a partir
de la muestra (riesgo de muestreo).
- Muestreo de atributos
Muestreo parar-o-seguir: Es un modelo de muestreo que ayuda a prevenir el muestreo excesivo
de un atributo permitiendo que una prueba de auditoría sea detenida lo antes posible. Se usa
cuando el auditor considera que se encontrarán pocos errores.
Muestreo por descubrimiento: Es un modelo de muestreo que puede usarse cuando la tasa de
ocurrencia que se espera es extremadamente baja. Se utiliza cuando el objetivo de la auditoría es
encontrar fraudes u otras irregularidades.
- Muestreo de variables
Media estratificada por unidad: Es un modelo estadístico en la cual la población está dividida en
grupos y se extraen muestras de los diferentes grupos.
Media no-estratificada por unidad: Es un modelo estadístico por el cual el promedio de la muestra
es calculado y proyectado como un total estimado.
El auditor debe sopesar los costos y beneficios de las técnicas CAAT. Ha de tener en cuenta:
- Facilidad de utilización.
- Requisitos de capacitación.
- Complejidad de codificación y mantenimiento.
- Flexibilidad de uso.
- Requisitos de instalación.
- Eficiencia de procesamiento.
- Esfuerzo que se requiere para llevar a la información fuente al CAAT para su auditoría.
Informes de auditoría
- Los informes de auditoría son el producto final del auditor de sistemas.
- Ese es el vehículo que el auditor utiliza para informar sus observaciones y recomendaciones a la
gerencia.
- El formato exacto del informe variará según la organización
Conclusiones y opiniones
- El informe de auditoría debe incluir una sección con la opinión respecto de las observaciones de
auditoría.
- Puede exponerse como que los controles o procedimientos examinados son adecuados o no.
- El resto del informe de auditoría debe respaldar esa conclusión, y la evidencia global recopilada
durante la auditoría debe brindar un nivel mayor de respaldo.
Técnicas de exposición
- A menudo se le solicita al auditor de sistemas que exponga los resultados de las tareas de auditoría a
diversos niveles gerenciales. Las técnicas de exposición incluyen:
Resumen ejecutivo: es un informe de fácil lectura, gramaticalmente correcto y breve que presenta
los hallazgos a la gerencia en forma comprensible.
Presentaciones visuales: pueden incluir transparencias, diapositivas o gráficos.
INFORME FINAL
Responsabilidad segregada
- El equipo responsable de auditar un sistema debe ser distinto a aquel que lo administra y lo utiliza.
Gestión Centralizada
- Una plataforma de auditoría de datos debe ser capaz de auditar múltiples bases de datos en múltiples
servidores físicos.
Hacerla Completa
- La política de auditoría de datos necesita abarcar todos los datos dentro de una organización,
incluyendo todos los datos de aplicación, los datos de comunicaciones incluyendo los registros de
correos electrónicos y mensajes instantáneos, registros de transacciones y toda la información que
pasa hacia o alrededor de una organización tanto desde dentro como desde afuera.
Respaldo y Archivo
- Los LOG de Auditoría, por si mismas, deben ser respaldadas y lo ideal, almacenadas en una sitio
remoto.
La elaboración del informe de auditoría sistemas es el punto final del proceso de captación y tratamiento de la
información obtenida del sistema auditado.
En la relación del informe, el auditor señala los resultados de su investigación, sus evaluaciones, hallazgos,
aportaciones y conclusiones sobre el trabajo realizado; también señala las técnicas, herramientas, métodos y
procedimientos para la obtención de datos.
CARACTERISTICAS FUNDAMENTALES
Que la información que contiene el documento sea veraz, confiable y oportuna y sin distorsiones ni
tendencias que demeriten el trabajo realizado.
Que el uso de la terminología sea exacto y objetivo, para que se entiendan e interpreten las desviaciones
reportadas tal y como se quisieron plasmar.
Que el contenido del informe sea congruente con lo observado, sin inventar, distorsionar o modificar lo
encontrado en la evaluación.
Que permita mostrar la situación real del área auditada, a fin de identificar y solucionar lo encontrado en la
evaluación.
Claridad
Confiabilidad
Propiedad
Concisión
Sencillez
Asertividad
Tono y fuerza
Oportunidad
Exactitud
Imparcialidad
Objetividad
Congruencia
Familiaridad
Veracidad
Efectividad
Positividad
- De acuerdo que en el programa para la auditoria de sistemas, el auditor aplica los instrumentos,
técnicas, procedimientos y herramientas que diseño en la etapa de planeación con el propósito de
realizar la evaluación a los sistemas, a las áreas de centros de cómputo o cualquier otro aspecto.
INSTRUMENTOS DE RECOPILACION
Este tiene como objetivo identificar los principales instrumentos técnicas, herramientas y métodos utilizados en la
recopilación de información.
a) Entrevista
b) Cuestionarios
c) Encuestas
d) Observación
e) Inventarios
f) Muestreo
g) Experimentación
Las herramientas computarizadas de apoyo a la auditoria se suelen clasificar en dos categorías genéricas, a saber:
Técnicas: extracción y análisis de datos, detección de fraude, monitoreo continuo, valoración de la seguridad
de la red, control del comercio electrónico, evaluación del control interno y papeles de trabajo automatizados.
Herramientas: procesadores de texto, hojas electrónicas, software especializado de auditoria, correo
electrónico, diagramas de flujo, bases de datos, administración de datos y groupware, administración de la
auditoria y administración de riesgos.
Una vez hecho el análisis, entonces puede definir aquellas situaciones encontradas en su evaluación.
Las desviaciones que reporta el auditor tienen características especiales, las cuales debes plasmar por escrito en un
documento de carácter formal, al que llamaremos formato de situaciones encontradas.
Una vez identificadas las situaciones encontradas, es responsabilidad del encargado de la auditoria que el auditor o
supervisor comenten cada una de esas desviaciones con el personal responsable de la operación, sistema o función
auditada.
ENCONTRAR, CONJUNTAMENTE CON LOS AUDITADOS, LAS CAUSAS DE LAS DESVIACIONES Y SUS POSIBLES
SOLUCIONES
La necesidad de comentar las desviaciones con los responsables de la operación, también remarcaremos que se puede
obtener de manera más fidedigna y confiable las causas que generan cada una de las desviaciones.
La redacción y presentación de estas desviaciones deben hacerse lo más correctamente posible sin admitir ni el más
mínimo error de ortografía, redacción tipográfica.
Esta es la principal responsabilidad del encargado de la auditoria de sistemas, vigilar el correcto reporte de las
situaciones encontradas.
JERARQUIZAR LAS DESVIACIONES ENCONTRADAS Y CONCENTRAR LAS MÁS IMPORTANTES EN EL FORMATO DE
SITUACIONES RELEVANTES
Una vez que se supervise el informe de desviaciones se analiza y se reportada; se escoge las que se considere mas
importante con el propósito de enfatizar lo que considera como lo más importante de a evaluación practicada a fin
que los directivos conozcan los aspectos más relevantes.
COMENTAR LAS SITUACIONES RELEVANTES CON LOS DIRECTIVOS DEL AREA DE SISTEMAS Y CONFIRMAR LAS
CAUSAS Y SOLUCIONES
El responsable de la auditoria debe encabezar la presentación de este informe al directivo de mayor jerarquía del área
de sistemas.
También es decisión del encargado que cada auditor aclare las dudas de los participantes en esta reunión.
CONCENTRAR, DEPURAR Y ELABORAR EL INFORME FINAL DE AUDITORIA, ASI COMO EL DICTAMEN DEL AUDITOR
El auditor responsable de la auditoria debe depurar cada una de las situaciones relevantes reportadas, con el fin de
concentrarlas en el llamado informe final de auditoría. Debido a que le informe es para el área directiva de la
empresa, no debe exceder de dos o tres hojas.
En este informe el auditor solo debe señalar lo más relevante de la evaluación, incluyendo su opinión.
La elaboración del informe es el verdadero trabajo del responsable de auditoria, debido que en el documento es donde
se muestra la importancia de su actividad.
Este es el informe final de la auditoría practicada y, por lo tanto, no se debe admitir ningún comentario adicional
que pudiera modificar lo ahí presentado; ya que es el producto final de la auditoria, y por lo tanto como crear
expectativas de duda sobre la veracidad y confiabilidad de su contenido.
4. Objetivos
- Verificar si el hardware y software se adquieren siempre y cuando tengan la seguridad de que los
sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa.
- Verificar si la selección de equipos y sistemas de computación es adecuada
- Verificar la existencia de un plan de actividades previo a la instalación
- Verificar que los procesos de compra de Tecnología de Información, deben estar sustentados en
Políticas, Procedimientos, Reglamentos y Normatividad en general, que aseguren que todo el proceso
se realiza en un marco de legalidad y cumpliendo con las verdaderas necesidades de la organización
para hoy y el futuro, sin caer en omisiones, excesos incumplimientos.
- Verificar si existen garantías para proteger la integridad de los recursos informáticos.
- Verificar la utilización adecuada de equipos acorde a planes y objetivos.
- Verificar si existen garantías para proteger la integridad de los recursos informáticos.
- Verificar la utilización adecuada de equipos acorde a planes y objetivos.
5. Hallazgos Potenciales
- Falta de licencias de software.
- Falta de software de aplicaciones actualizados
- No existe un calendario de mantenimiento ofimático.
- Faltan material ofimática.
- Carece de seguridad en Acceso restringido de los equipos ofimáticos y software.
6. Alcance de la auditoria
- Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado especialmente al
Departamento de centro de cómputo de acuerdo a las normas y demás disposiciones aplicable al
efecto.
- El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria
Ofimática, se complementa con los objetivos de ésta.
7. Conclusiones
- Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada uno de
los objetivos contenidos en el programa de auditoria.
- El Departamento de centro de cómputo presenta deficiencias sobre el debido cumplimiento de
Normas de seguridad.
- La escasez de personal debidamente capacitado.
- Cabe destacar que el sistema ofimático pudiera servir de gran apoyo a la organización, el cual no es
explotado en su totalidad por falta de personal capacitado.
8. Recomendaciones
- Se recomienda contar con sellos y firmas digitales
- Un de manual de funciones para cada puesto de trabajo dentro del área.
- Reactualización de datos.
- Implantación de equipos de última generación
9. Fecha de informe
- Planeamiento de ejecución
- 16-04-2012 al 05-02-2014
WinAudit es un software muy sencillo, liviano, gratuito y además portable, que de manera rápida nos ofrece un
completo análisis de cualquier computador que funcione bajo el sistema Windows.
DEFINICIONES GENERALES
CRITERIO DE AUDITORIA
Políticas, prácticas, procedimientos o requerimientos contra los que el auditor compara la información recopilada
EVIDENCIA DE AUDITORIA
- Información, registros o declaraciones de hecho verificables.
- Puede ser cualitativa o cuantitativa.
- Sirve para determinar cuándo se cumple con el criterio de auditoria.
- Se basa en entrevistas, revisión de documentos, observación de actividades.
RESULTADOS DE LA AUDITORIA
- Evaluación de la evidencia comparada contra los criterios de auditoria acordados.
- Proveen la base para el reporte final de la auditoria.
EQUIPO AUDITOR
- Grupo de auditores, o un auditor individual
Expertos técnicos
Auditores auxiliares
Auditor líder
AUDITADO
AUDITORIA DE CALIDAD
- Evaluar la evidencia
- Determinar cuáles actividades, eventos, condiciones, cumplen con los criterios de auditoria.
PLAN DE AUDITORIA
Debe ser establecido y comunicado al cliente. El cliente debe revisar y aprobar dicho plan.
Debe incluir:
Fecha: 10-07-2010
Elaborado por: Victor Manuel Bernal Garcia
Revisado por: Mario Rosales Franco
Documentación a
No. Procedimiento Responsable Fecha
examinar
1 Elaborar un listado de las máquinas y de los
programas más usados, usando el listado Victor Bernal 10/07/2010 Inventario
sugerido
2 Especificar y documentar las observaciones
especiales de las máquinas que requieran una
Victor Bernal 10/07/2010
apreciación exclusiva. Como el servidor, equipos
con componentes especiales, etc.
3 Elaborar un diagrama de la estructura y
conexiones de red con los correspondientes Victor Bernal 10/07/2010
equipos.
4 Realizar un análisis preliminar sobre el estado
Victor Bernal 10/07/2010
general del laboratorio.
Elaboro Reviso
---------------------------------------------- ----------------------------------------------
Nombre y Firma Nombre y Firma
PROGRAMA DE AUDITORIA
Empresa: Instituto para la Protección al Ahorro Bancario Fecha: 10/07/2010 No. Hoja: 1
Fase Actividad Horas Programadas Encargados
Visita Preliminar
1.- Solicitud de Manuales y Documentaciones.
1 8 Horas Víctor Bernal
2.- Elaboración de los cuestionarios.
3.- Recopilación de la información.
Desarrollo de la Auditoria
1.- Aplicación del cuestionario al personal.
2.- Análisis de las claves de acceso, control,
2 seguridad, confiabilidad y respaldos. 36 horas Mario Rosales
3.- Evaluación de los sistemas: relevamiento de
Hardware y Software, evaluación del diseño
lógico y del desarrollo del sistema.
Revisión y Pre-Informe Víctor Bernal
3 1.- Revisión de los papeles de trabajo. 8 Horas y Mario
3.- Determinación del Diagnostico e Implicaciones. Rosales
Informe Víctor Bernal
4 4 Horas y Mario
1.- Elaboración y presentación del Informe.
Rosales
INFORME FINAL
Título
Partes interesadas
El auditor dirigirá su informe al ejecutivo u órgano de la entidad del que recibió el encargo de la auditoría.
Objetivo
- Especificar en forma muy puntual los procesos o áreas involucradas en la auditoria.
- Basada en objetivos definidos por el cliente.
- Indicar con qué propósito se realiza la auditoria
Alcance
- Especificar la trascendencia de la auditoria y las áreas involucradas en la misma.
- El alcance describe la extensión y límites de la auditoría
Resultados
Observaciones
Recomendaciones
Conclusiones
Este periodo deberá contener la fecha de inicio y último día de trabajo en las oficinas de la entidad.
Firmas
Nombre y firma del representante del área auditada, así como nombre y firma del auditor.
FORMATO DE OBSERVACIONES
INFORME DE AUDITORIA
Nombre de la Empresa:
Area auditada:
RECOMENDACIONES Y ACCIONES
CONCLUSIONES
El informe de auditoría tiene que estar basado en una metodología, misma que debe estar soportada por
mejores prácticas administrativas y tecnológicas.
El informe de auditoría debe contener cuando menos los puntos observados en la presentación y el formato
puede elaborarse de acuerdo a las necesidades del auditor, por lo que no existe un formato en específico.
La información y observaciones vertido en el informe deben contener un sustento y no pueden ser en ningún
caso subjetivos.