UNIVERSIDAD TECNOLOGICA ”ANTONIO JOSE DE SUCRE”

LA AUDITORIA DE LOS SISTEMAS INSTALADOS

MATERIA: AUDITORIA DE SISTEMASLEOMAR MARTINEZ URE

C.I N° 24.385.078

AUDITORIA DE SISTEMAS

• La Auditoria de los Sistemas de Información Es cualquier auditoria que abarca la revisión y evaluación de todos los aspectos (o porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

• La Auditoria en Informática : Es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que se logre una utilización más eficiente y segura de la información para una adecuada toma de decisiones.

• Auditoría de sistemas: Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e información utilizados en una empresa, sean individuales, compartidos y/o de redes, así como a sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás componentes. Dicha revisión se realiza de igual manera a la gestión informática, el aprovechamiento de sus recursos, las medidas de seguridad y los bienes de consumo necesarios para el funcionamiento del centro de cómputo.

IMPORTANCIA DE LA AUDITORIA

La Auditoria en Informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo en informática, organización de centros de información, hardware y software, los sistemas de información en general. desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.

METODOLOGÍA PARA REALIZAR AUDITORÍA DE SISTEMAS INSTALADOS

FASES PARA REALIZAR LA AUDITORIA DE SISTEMAS INSTALADOS:

1. PLANEACIÓN2. EJECUCIÓN DE LA AUDITORÍA3. REDACCIÓN DEL INFORME FINAL

FASE 1. PLANEACIÓN

1.- Identificar el origen de la auditoría.

2.- Realizar visita preliminar al área que será evaluada.

3.- Establecer objetivos de la auditoría.

4.- Determinar los puntos que serán evaluados en la auditoría.

5.- Elaborar planes, programas y presupuestos para realizar la auditoría.

6.- Identificar y seleccionar los métodos, herramientas, instrumentos y

procedimientos necesarios para la auditoría.

7.- Asignar recursos y sistemas computacionales para la auditoría.

1.1 Identificar el origen de la auditoría:

1.-Por solicitud expresa de procedencia interna.

2.-Por solicitud expresa de procedencia externa.

3.-Como consecuencia de emergencias y condiciones

especiales.

4.-Por riesgos y contingencias informáticas.

5.-Como resultados de los planes de contingencia.

6.-Por resultados obtenidos de otras auditorías.

7.-Como parte del programa integral de auditoría.

1.2 Realizar visita preliminar al área que será evaluada

1 - ¿Cómo se encuentran distribuidos los sistemas en el área? - Ubicación del sistema. Accesos a las bases de datos del sistema - Manuales de Usuario, Manuales Técnicos, Acceso a la infraestructura. - Documentos técnicos sobre la infraestructura utilizada para el sistema.

2 - ¿Cuántos, cuáles, cómo y de qué tipo son los equipos que están instalados en el centro de sistemas?

3 - ¿Cuáles son las principales características físicas de los sistemas que serán auditados?

4 - ¿Cómo reacciona el personal ante la visita del auditor?

5 - ¿Qué limitaciones se observan para realizar la auditoría?

6.- calcular recursos y personal.

7.- Conocer la organización, objeto de Auditoría:

1.- Cantidad de empleados, Funciones y actividades del personal Unidades Ad. del Centro de Cómputo. tipo de información que maneja la organización. contexto donde la empresa está funcionando.2.-Información de la empresa y de su centro de datos (departamento de informática).

3.- Aspectos Legales y Políticas Internas.

Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de

referencia para su evaluación.

4.Características del Sistema Operativo.

Organigrama del área que participa en el sistemaManual de funciones de las personas que participan en los procesos del sistemaInformes de auditoría realizadas anteriormente

5.Características de la aplicación de computadoraManual técnico de la aplicación del sistemaFuncionarios (usuarios) autorizados para administrar la aplicaciónEquipos utilizados en la aplicación de computadoraSeguridad de la aplicación (claves de acceso)Procedimientos para generación y almacenamiento de los archivos de la aplicación.

1.3 - ESTABLECER OBJETIVOS DE LA AUDITORIA: 1 - Objetivo general: Realizar una evaluación , con el fin de emitir un dictamen independiente sobre el uso adecuado de los sistemas Instalados, para el correcto ingreso de los datos, el procesamiento adecuado de la información y la emisión oportuna de sus Conceptos generales así como tambien evaluar la   razonabilidad de las operaciones del sistema Instalado y la gestión administrativa del área de informática.

2 - Objetivos específicos: 1- evaluar el uso de los recursos financieros en las áreas del centro de información2-Evaluar el uso de los equipos de cómputo, sus periféricos, las instalaciones y mobiliario del centro de cómputo. 3-Evaluar los sistemas de procesamiento, sus sistemas operativos, los lenguajes, programas y paqueterías de aplicación y desarrollo, así como el desarrollo e instalación de nuevos sistemas. 4 - Evaluar el cumplimiento de planes, programas, estándares, políticas, normas y que regulan las actividades de los sistemas de procesamiento de información. 5- Realizar la evaluación de las áreas, actividades y funciones de una empresa, contando con el apoyo de los sistemas computacionales.

1.4 Determinar los puntos que serán evaluados en la auditoría

1 - Evaluación de las funciones y actividades del personal en el área de sistemas.2 - Evaluación de las áreas y unidades administrativas del centro de computo.3 - Evaluación de la seguridad de los Sistemas de Información.4 - Evaluación de la información, documentación y registros de los sistemas.5 - Evaluación del hardware.6 - Evaluación del software.7 - Evaluación de la información y bases de datos.8 – Evaluación de Equipos, Instalaciones y Componentes.9-  Elegir tipo de auditoría a utilizar.10 - Determinar recursos a utilizar.

1.5.- Elaborar planes, programas y presupuestos que serán utilizados:

1.- Elaborar el documento formal de los planes de trabajo para la auditoría.

1- Definir los objetivos finales de la auditoria.

2- Establecer las estrategias para realizar la auditoria.

3- Calcular la duración de las tareas y eventos para satisfacer los objetivos de

la auditoria

4- Distribuir los recursos que serán utilizados en las diferentes etapas,

actividades y tareas de la auditoria

5 -Confeccionar los planes concretos para la auditoria

2.- ELABORAR LOS PROGRAMAS DE ACTIVIDADES PARA

REALIZAR LA AUDITORÍA.

1 – Realizar Grafica del Programa de Actividades .

2 - Definición de las etapas y eventos que se deben llevar a cabo.

3 - Definición de las actividades y tareas.

3.- ELABORAR LOS PRESUPUESTOS PARA LA AUDITORÍA.

1 - Elaborar  Presupuestos

2 - Asignación de los costos de los recursos

3 - Control de los costos de los recursos 

1.6 - Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría

1.- Establecer la guía de ponderación de los puntos que serán evaluados.- Definir áreas y puntos de sistemas que serán auditados.- Definir el peso de la ponderación por las áreas y puntos que serán evaluados.- realizar el documento de ponderación de la auditoria.

2.- Elaborar la guía de la auditoría.

3.- Elaborar los Instrumentos y herramientas de recopilación de información para la auditoria. a - Cuestionarios. b - Guías para realizar las entrevistas. c -Formularios para encuestas. d - Modelos y formatos para los inventarios del área de sistemas e -Métodos e instrumentos de muestreo.

4.-DETERMINAR HERRAMIENTAS, MÉTODOS Y PROCEDIMIENTOS PARA LA AUDITORÍA.

1. - Establecer los métodos y procedimientos que serán utilizados en la auditoria .2.- Determinar las técnicas y procesos específicos que serán utilizados en la auditoria. 3.- Determinar las herramientas que serán utilizados en la auditoria.

5. DISEÑAR LOS SISTEMAS, PROGRAMAS Y MÉTODOS DE PRUEBA.

1- Instrumentos especiales para pruebas de evaluación de sistemas. 2- Aplicar Pruebas de computo para la evaluación. 3 -Determinar programas, bases de datos, archivos, sistemas. 4- obtener los resultados de las pruebas, programas y sistemas .

1.7- Asignar recursos y sistemas computacionales para la auditoría

1.- Recursos Humanos.

2.- Recursos informáticos y tecnológicos.

3.- Recursos materiales y de consumo.

4.- Otros recursos necesarios (viaticos, pasajes, otros).

FASE 2. EJECUCIÓN DE LA AUDITORÍA

1.-Realizar las acciones programadas para la Auditoría

2.- Aplicar los instrumentos y herramientas para la auditoría

3.- Aplicar los recursos y actividades conforme a los planes y programas

4.- Recopilar la documentación y evidencias de la auditoría.

5.- Identificar y elaborar los documentos de desviaciones encontradas.

6.- Elaborar dictamen preliminar y presentarlos a discusion

7.-Integrar el legajo de papeles de trabajo de la Auditoría.

EJECUCION DE LA AUDITORIA

2.1.- ANÁLISIS DE TRANSACCIONES Y RECURSOS1.Definición de las transacciones.Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deberá ser asignada con los administradores.

2.Análisis de las transacciones Establecer el flujo de los documentos. se hace uso de los flujogramas ya que facilita la visualización del funcionamiento y recorrido de los procesos.

3.Análisis de los recursosIdentificar y codificar los recursos que participan en los sistemas. Revisar y verificar las licencias para el uso de los programas inventariados, al igual que los diskettes y manuales correspondientes de los paquetes de software originales adquiridos por la Empresa .Analizar el uso actual de los computadores, en base a los programas instalados que se haya detectado.

4.Relación entre transacciones y recursos

2.2.- ANÁLISIS DE RIESGOS Y AMENAZAS.

1.Identificación de riesgosDaños físicos o destrucción de los recursosPérdida por fraude o desfalcoExtravío de documentos fuente, archivos o informesRobo de dispositivos o medios de almacenamientoInterrupción de las operaciones del negocioPérdida de integridad de los datosIneficiencia de operacionesErrores

2.Identificación de las amenazas

Amenazas sobre los equipos.

Amenazas sobre documentos fuente.

Amenazas sobre programas de aplicaciones.

3.Relación entre recursos/amenazas/riesgos

La relación entre estos elementos deberá establecerse a partir de la

observación de los recursos en su ambiente real de funcionamiento.

2.3.- ANÁLISIS DE CONTROLES.

1.Codificación de controlesLos controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificación de los controles deben contener una codificación que identifique el grupo al cual pertenece el recurso protegido.

2.Relación entre recursos/amenazas/riesgosLa relación con los controles debe establecerse para cada tema (Rec/Amz/Rie)

identificado. Para cada tema debe establecerse uno o más controles.

3.Análisis de cobertura de los controles requeridosEste análisis tiene como propósito determinar si los controles necesarios, proveen una protección adecuada de los recursos.

2.4.- EVALUACIÓN DE CONTROLES.

1.Objetivos de la evaluaciónVerificar la existencia de los controles requeridosDeterminar la operatividad y suficiencia de los controles existentes.2.Plan de pruebas de los controlesIncluye la selección del tipo de prueba a realizar.Debe solicitarse al área respectiva, todos los elementos necesarios de prueba.3.Pruebas de controles

-La revisión de los diagramas de flujo de procesos-Realización de pruebas de cumplimiento de las seguridades-Revisión de aplicaciones de las áreas criticas-Revisión de procesos históricos (backups)-Revisión de documentación y archivos, entre otras actividades.

4.Análisis de resultados de las pruebasverificar la existencia de estos controles y que estén funcionando de manera eficaz.

PROCEDIMIENTOS DE AUDITORIA

El proceso de auditoría exige que el auditor aplique procedimientos para evaluar fortalezas y debilidades de los controles existentes y basado en la evidencia recopilada, prepare un informe de auditoría y lo presente a la gerencia.

Procedimientos para la Auditoria de Sistemas Instalados o software de Aplicación

1-Evaluar la realización de procedimientos y controles en cuanto a:

-La instalación del software.-La operación y seguridad del software.-La administración del software.-Detectar el grado de confiabilidad:-Grado de confianza, satisfacción y desempeño.-Investigar si existen políticas con relación al software.-Detectar si existen controles de seguridad.

 

2.-Verificar la Actualización del software de aplicación.

3.-Revisar los Tipos de controles:-Control de distribución.-Validación de datos.-Totales de control.-Control de secuencia.- Pruebas de consistencia y verosimilitud.-Digito de control.-Control de distribución.

4.- Evaluar la Aplicación de Controles del software de seguridad general: 1.- El control de acceso a programas y a la instalación 2.- Controles de acceso a programas y datos 3.- Vigilar los Cambios realizados - Diseño y código de modificaciones - Coordinación de otros cambios - Asignación de responsabilidades - Revisión de estándares y aprobación - Requerimientos mínimos de prueba - Procedimientos del respaldo en el evento de interrupción

5.- Evaluar los Controles de Software Especifico, en cuanto a:a.- El acceso al sistema debe de ser restringido para individuos no autorizados.b.- Se debe controlar el acceso a los procesos y a las aplicaciones permitiendo a los usuarios autorizados ejecutar sus obligaciones asignadas y evitando que personas no autorizadas logren el acceso.c.-Se limitara tanto a usuarios como a programadores de aplicaciones a un tipo especifico de acceso de datos.d.- Para asegurar las rutas de acceso deberá restringirse el acceso a secciones o tablas de seguridad, mismas que deberán ser encriptados.e.- Deberán restringirse las modificaciones o cambios al software de control de acceso.

6.- Evaluar los controles a los Software de sistemas operativos, sobre:1- Los password e identificadores deberán ser confidenciales.2- El acceso al software de sistema operativo deberá ser restringido.3- Los administradores de seguridad deberán ser los únicos con autoridad para modificar funciones del sistema.

7.- Evaluar los controles a los Software manejador de base de datos.Controles que incluye:○ El acceso a los archivos de datos deberá ser restringido en una vista de datos lógica.○ Deberá controlar el acceso al diccionario de datos. ○ La base de datos debe ser segura y se usaran las facilidades de control de acceso construidas dentro del software.

8.- Evaluar los controles a los Software de consolas, a software de librerías y a software de Telecomunicaciones:1.- Software de consolas o terminales maestras. Controles que incluye:○ Los cambios realizados al software de consolas o terminales maestras deberán ser protegidas y controlados.2.-Software de librerías. Controles que incluye:○ Si Tiene la facilidad de comparar dos versiones de programas en código fuente y reportar las diferencias. ○ Deben limitarse el acceso a programas o datos almacenados por el software de librerías.3.-Software de telecomunicaciones. Controles que incluye:○ Controles de acceso a datos sensibles y recursos de la red.○ El acceso diario al sistema debe ser monitoreado y protegido.

9.- Se debe Evaluar el uso adecuado de la computadora y su software, que puede ser susceptible a:

•copia de programas de la organización para fines de comercialización (copia pirata).•acceso directo o telefónico a bases de datos con fines fraudulentos.

10.- Evaluar la relación costo y la seguridad, ya que a mayor tecnología de acceso mayor costo.

11.- Evaluación de los equipos de cómputación, sus periféricos, las instalaciones y mobiliario del Centro de Cómputo. Su funcionamiento y el uso correcto. También se realiza a la composición y arquitectura de las partes físicas y demás componentes del hardware, incluyendo equipos asociados, instalaciones y comunicaciones internas

Síntesis y diagnóstico

Identificar y Elaborar los documentos de desviaciones.

1.- Integrar los papeles de trabajo de la auditoría

2.- Integrar los documentos y pruebas en papeles de trabajo.

Evidencias

Puntos débiles del sistemaPuntos fuertesRiesgos EventualesPosibles oportunidadesPosibles soluciones y mejoras

FASE 3. REDACCIÓN DEL INFORME FINAL

• Carta de Presentación del Informe.• Elaborar un informe de las situaciones

detectadas. Resumen del Informe.• Elaborar el Dictamen Final.• Presentación del Informe de Auditoría.

LA CARTA DE INTRODUCCIÓN

Tiene especial importancia porque en ella ha de resumirse la auditoria realizada. Se destina exclusivamente al responsable máximo de la empresa o a la persona concreta que encargo o contrató la auditoria. La carta de introducción poseerá los siguientes atributos:Tendrá como máximo 4 folios.Incluirá fecha, naturaleza, objetivos y alcance.Cuantificará la importancia de las áreas analizadas.Proporcionará una conclusión general, concretando las áreas de gran debilidad.Presentará las debilidad en orden de importancia y gravedad.En la carta de Introducción no se escribirán nunca recomendaciones.

RESUMEN DEL INFORME

1.- Informe detallado de los problemas encontrados y los Efectos .

2.- Evaluación de las respuestas.

3.-Recomendaciones del Auditor.

Es un resumen del informe, para la alta gerencia

y debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de la áreas.

ELABORAR EL DICTAMEN FINAL

ANALIZAR LA INFORMACIÓN Y ELABORAR UN INFORME DE

DESVIACIONES DETECTADAS

ELABORAR EL DICTAMEN FINAL.

REVISAR EL INFORME Y DICTAMEN CON LOS DIRECTIVOS DE LAS ÁREAS

AUDITADAS.

EL INFORME DE AUDITORÍA.

El informe se prepara según juicios fundamentados en las evidencias obtenidas durante la fase de ejecución, con la finalidad de brindar suficiente información a los funcionarios de la entidad auditada, sobre las deficiencias o desviaciones más significativas e incluir las recomendaciones que permitan promover mejoras en la conducción de las operaciones del área examinada.

CONFECCIÓN Y REDACCIÓN DEL INFORME FINAL DE AUDITORIA.

1.- Estructura del Informe Final de Auditoría:

1.- El informe comienza con la fecha de comienzo de la auditoría y la fecha

de redacción del mismo.

2.-Se incluyen los nombres del equipo auditor y de todas las personas

entrevistadas, con indicación del departamento, responsabilidad y puesto de

trabajo que ostente.

3.-Definición de objetivos y alcance de la auditoría.

2.- CUERPO EXPOSITIVO DEL INFORME:

CUERPO EXPOSITIVO:

A. SITUACIÓN ACTUAL.

-Cuando se trate de una revisión periódica, en la que se analiza no solamente una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la situación real.

B. TENDENCIAS– Se tratarán de hallar parámetros que permitan establecer tendencias futuras.

C. PUNTOS DÉBILES Y AMENAZAS.

– Se establecen los puntos débiles y amenazas encontradas durante la auditoría. Opinión con relación a la suficiencia del control interno del sistema evaluado.

D. RECOMENDACIONES Y PLANES DE ACCIÓN.

– Constituyen junto con la exposición de puntos débiles, el verdadero objetivo de la auditoría informática.

– Se indican las Observaciones detalladas y recomendaciones de auditoría.

– Conclusión global del auditor expresando una opinión sobre los controles y procedimientos revisados.

LAS DESVIACIONES O PROBLEMAS ENCONTRADOS.1.- Han de ser relevantes para el auditor y para el cliente.2.- Han de ser exactos y además convincentes, mediante Evidencias.3.- Se redactará las influencias directas que el hecho pueda tener sobre otros aspectos informáticos u otros ámbitos de la empresa.

RECOMENDACIÓNES DEL AUDITOR INFORMÁTICO.1.- Deberá estar suficientemente soportada en el propio texto.2.- Deberá ser concreta y exacta en el tiempo, para ser verificada su implementación.3.- La recomendación será dirigida a las personas que puedan implementarla.

Ejemplo de Recomendaciones:-Las claves de acceso a los programas se deben cambiar trimestralmente.- se deben implantar los controles de preinstalación, controles de organización y planificación, controles de procesamiento, controles de operación, controles de sistemas en desarrollo y producción, control en el uso de computadores.-Todos los sistemas deben estar documentados y actualizados.-Se debe asegurar la utilización adecuada de los equipos.-El acceso al Centro de Cómputo debe ser para personal autorizado.