Auditoria De Sistemas Informáticos

OBJETIVO DEL CAPITULO

Proponer una metodología especifica que puede ser aplicable a la realización de cualquier tipo de auditoría en el campo de los sistemas computacionales, con el propósito de mostrar una forma concreta de llevar a cabo la planeación, selección de herramientas, desarrollo y presentación de resultados de estas auditorías, para que el lector pueda adoptar esta metodología y en su caso adaptarla

INTRODUCCIÓN DEL CAPITULO

Llevar a cabo una auditoría de sistemas computacionales requiere de una serie de acciones y procedimientos específicos, los cuales deberán ser diseñados previamente de manera secuencial, cronológica y ordenada de acuerdo a las etapas, eventos y actividades que se requieran para su ejecución, mismos que serán establecidos conforme a las necesidades especiales de la institución. Además estos procedimientos se deben adaptar de acuerdo al tipo de auditoría de sistemas que se vaya a realizar, y con estricto apego a las necesidades, técnicas y métodos de evaluación del área de sistematización.

Dichos métodos deberán seguirse también para la determinación de las herramientas e instrumentos de revisión que serán utilizados en la evaluación.

La metodología nos servirá para establecer las técnicas, métodos y procedimientos adaptables a las características especiales de la auditoría del área específica del sistema a evaluar, incluyendo recursos humanos, técnicos y materiales necesarios para dichas revisión.

METODOLOGÍA ESPECÍFICA DE REVISIÓN

ORIGEN DE AUDITORÍA VISTA PRELIMINAR

Establecer objetivos

Determinar puntos a evaluar

Elaborar planes, presupuestos y programas

Identificar y seleccionar herramientas, métodos técnicas y procedimientos

Asignar los recursos de auditoría y sistemas

Aplicar la Auditoría

Identificar desviaciones y elaborar borrador de informe

Elaborar borrador final de desviaciones

Presentar el informe de auditoría

ESTA METODOLOGÍA TIENE TRES ETAPAS FUNDAMENTALES

• Primera etapa: PLANEACIÓN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES

• Segunda etapa: EJECUCION DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES

• Tercera etapa: DICTAMEN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES

METODOLOGÍA PARA REALIZAR AUDITORÍAS DE SISTEMAS COMPUTACIONALES

Con el propósito de interpretar adecuadamente la aplicación de esta metodología para realizar auditoría de sistemas, la cual puede de ser aplicable para cualquier tipo de auditoría dentro del campo de sistemas, a continuación presentamos, en forma genérica, todas aquellas fases y pasos que se deberán considerar en la planeación de la evaluación.

• Primera etapa: PLANEACIÓN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES

 P.1 Identificar el origen de la auditoría

 P.2 Realizar una visita preliminar al área que será evaluada

 P.3 Establecer los objetivos de la auditoría

 P.4 Determinar los puntos que serán evaluados en la auditoría

 P.5 Elaborar planes, programas y presupuestos para realizar la auditoría

 P.6 Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría.

 P.7 Asignar los recursos y sistemas computacionales para la auditoría

• Segunda etapa: EJECUCION DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES

• Tercera etapa: DICTAMEN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES

P.5. ELABORAR PLANES, PROGRAMAS Y PRESUPUESTOS PARA REALIZAR LA AUDITORÍA

Se debe elaborar los documentos que contemplen los planes formales para el desarrollo de la auditoría, los programas en donde se delimiten perfectamente las etapas, eventos, actividades y los tiempos de ejecución para cumplir con el objetivo, así como los presupuestos de la auditoría, documentos en donde se debe asignarlos costos de los recursos que serán utilizados y el tiempo que serán utilizados para determinada actividad.

P.5.1 ELABORAR EL DOCUMENTO FORMAL DE LOS PLANES DE TRABAJO PARA LA AUDITORÍA

Es la elaboración específica y escrupulosa de los planes formales de trabajo para la auditoría de sistemas computacionales.

Estos planes se presentan en un documento oficial llamado PLAN DE AUDITORÍA DE SISTEMAS, el cual contiene todos los aspectos relacionados con la realización de dicha auditoría.

A continuación presentamos algunos aspectos:

1. Las actividades que se van a realizar, los responsables de realizarlas, los recursos materiales y los tiempos.

2. Los eventos que servirán de guía de acción.

3. La estimación de los recursos humanos, materiales e informáticos que serán utilizados.

4. Los tiempos estimados para las actividades y para la propia auditoría.

5. Los auditores responsables y participantes en dicha actividad.

6. Las demás especificaciones del programa de trabajo para la auditoría.

El Auditor responsable de elaborar la planeación de la auditoría determinará, en base a sus conocimientos, habilidades y experiencia, el contenido formal de este documento.

P.5.1.1 CARÁTULA DE IDENTIFICACÍON DEL PLAN DE AUDITORÍA

Es la primera hoja del documento de planeación, en el cual se debe establecer los siguientes puntos

AUDITORÍA EN SISTEMAS

EMPRESA: Instituto Ecuatoriano de Seguridad Social PERIODO: 01 al 16 de Junio del 2013

AUDITOR: Paula Valentina Paz Guerrero ÁREA AUDITADA: Dirección de Informática y Estadística

PLAN DE AUDITORÍA DE SISTEMA

Nombre y logotipo de la empresa responsable de la auditoría

Contiene la identificación oficial de la empresa responsable de realizar la auditoría, en caso de ser auditoría externa; es indispensable que esta carátula esté en un papel membretado de la institución, despacho o auditor independiente que la llevará a cabo. Si la responsable de realizar esta evaluación es el área de auditoría interna de la empresa, el logo y el nombre será la empresa, pero con clara identificación del área de auditoría interna.

Identificación del nombre del documento

Es la clara identificación de que se trata de un documento oficial, en el cual se indica claramente que su contenido se refiere al PLAN DE AUDITORÍA DE SISTEMAS de la empresa y/o del área que indica en la misma carátula.

Fecha de vigencia del plan

AUDITORÍA EN SISTEMAS

Nombre de la empresa

EMPRESA: Instituto Ecuatoriano de Seguridad Social PERIODO: 01 al 16 de Junio del 2013

AUDITOR: Paula Valentina Paz Guerrero ÁREA AUDITADA: Dirección de Informática y Estadística

PLAN DE AUDITORÍA DE SISTEMA Área auditada

Nombre del responsable de la

Elaborar el plan de auditoría

Indicación del nombre de

Documento

• Nombre de la empresa (área auditada)

Se anota el nombre de la empresa o del área específica de sistemas que será auditada

• Nombre del responsable de elaborar el plan de auditoría

Se señala el nombre del auditor responsable de llevar a cabo la auditoría, por lo general este auditor es el mismo que supervisa la realización de la auditoría.

• Fecha de vigencia del plan

En algunos casos es el periodo de realización de la auditoría desde que inicia hasta que concluye con la entrega del dictamen formal. En otros casos es la fecha en que se presenta a discusión y aprobación el plan de auditoría.

Debe indicar el día (dos dígitos, el mes (dos dígitos), y el año (cuatro dígitos).

P.5.1.2 ÍNDICE DEL CONTENIDO

Es conveniente que siempre se incluya una sección en donde se señalen, por nombre del contenido o apartados por página, todos los puntos en que se dividió el plan de auditoría, con el objeto de ayudar a una rápida consulta de documento.

P.5.1.3 DEFINICIÓN DE OBJETIVOS

Es la definición formal, por escrito, de los objetivos que se pretenden alcanzar con la auditoría.

P.5.1.4 DELIMITACIÓN DE ESTRATÉGIAS PARA EL DESARROLLO DE LA AUDITORÍA

En algunos casos es conveniente que en ese plan se contemplen las estrategias para las diferentes partes de la auditoría de sistemas, además se puede contener las estrategias de acción y de actuación de los participantes en la revisión.

P.5.1.5 PLANES DE AUDITORÍA

Se detallan cada una de las acciones para la evaluación, estos planes serán presentados de acuerdo a las preferencias y necesidades específicas de auditoría de la empresa, así como de acuerdo a los estándares de documentación establecidos por la empresa responsable de la evaluación. En estos planes se detallan cada una de las acciones para la evaluación de estos planes

P.5.1.6 DEFINICIÓN DE NORMAS, POLITICAS Y LINEAMIENTOS PARA EL DESARROLLO DE LA AUDITORÍA

Es importante que los aspectos que regulan

...