Auditoria de sistemas[1]

04/10/2011

10/10/2011

Examen a la Unidad de Tecnologías Informática, Comunicaciones y Sistemas Periodo 2010 de la Municipalidad Distrital Coronel

Gregorio Albarracín Lanchipa

MEMORÁNDUM DE PLANIFICACIÓN – EJERCICIO 2010

NAGAS:NAGAS:Normas Generales o PersonalesEntrenamiento y capacidad profesionalIndependenciaCuidado o esmero profesional

NORMAS GENERALES PARA NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS LA AUDITORIA DE SISTEMAS DE INFORMACION:DE INFORMACION:S 1 Estatuto( carta de compromiso deben ser aceptados y aprobados en el nivel apropiado dentro de la organización.S 2 Independencia S 3 Ética y normas profesionalS 4 Competencia ProfesionalS 5 Planeación

L1 – A1 de 13

M.CH.O Fecha: 04/Oct/2011D.T.Q.Fecha: 06/Oct/2011

La presente Auditoria de Sistemas se realiza en cumplimiento a las acciones programadas para el ejercicio 2011 por el Órgano de Control Institucional de la Municipalidad Distrital Coronel Gregorio Albarracín Lanchipa, el cual fue aprobado mediante Resolución de Contraloría Nº 374-2009-CG

1. 1. ORIGEN DE ORIGEN DE EXAMENEXAMEN

2. 2. OBJETIVOSOBJETIVOS

2.1 Objetivo General del examen

Revisión y evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad en la Unidad de Tecnologías Informática, Comunicaciones y Sistemas de la Municipalidad Distrital Coronel Gregorio Albarracín Lanchipa.




NIAS:NIAS:300 Planeación

NORMAS GENERALES PARA NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS LA AUDITORIA DE SISTEMAS DE INFORMACION:DE INFORMACION:S 5 Planeación

2.2. Objetivos específicos del examen

1. Para la evaluación de los sistemas tanto en operación como en desarrollo se llevarán a cabo las siguientes actividades:

2. Para la evaluación de los equipos se levarán a cabo las siguientes actividades:




L1 – A2 de 13


Solicitud del análisis y diseño del os sistemas en desarrollo y en operación

Solicitud de la documentación de los sistemas en operación (manuales técnicos, de operación del usuario, diseño de archivos y programas)

Recopilación y análisis de los procedimientos administrativos de cada sistema (flujo de información, formatos, reportes y consultas)

Análisis de llaves, redundancia, control, seguridad, confidencial y respaldos

Análisis del avance de los proyectos en desarrollo, prioridades y personal asignado

Entrevista con los usuarios de los sistemas Evaluación directa de la información obtenida

contra las necesidades y requerimientos del usuario

Análisis objetivo de la estructuración y flujo de los programas

Análisis y evaluación de la información recopilada Elaboración del informe

Solicitud de los estudios de viabilidad y características de los equipos actuales, proyectos sobre ampliación de equipo, su actualización Solicitud de contratos de compra y mantenimientos de equipo y sistemas Solicitud de contratos y convenios de respaldo Solicitud de contratos de Seguros Elaboración de un cuestionario sobre la utilización de equipos, memoria, archivos, unidades de entrada/salida, equipos periféricos y su seguridad Visita técnica de comprobación de seguridad física y lógica de la instalaciones de la Dirección de Informática Evaluación técnica del sistema electrónico y ambiental de los equipos y del local utilizado Evaluación de la información recopilada, obtención de gráficas, porcentaje de utilización de los equipos y su justificación.

NIAS:NIAS:310 conocimiento del negocio,220 control de calidad para el trabajo de auditoria230 documentación




L1 – A3 de 13


3. Para la evaluación de Existencia de normativa de hardware se levarán a cabo las siguientes actividades:

4. Para la evaluación de Política de acceso a equipos se levarán a cabo las siguientes actividades:

Evaluación del hardware, debe estar correctamente identificado y documentado.

Evaluación si cuenta con todas las órdenes de compra y facturas con el fin de contar con el respaldo de las garantías ofrecidas por los fabricantes.

Evaluación de acceso a los componentes del hardware esté restringido a la directo a las personas que lo utilizan.

Evaluación si cuenta con un plan de mantenimiento y registro de fechas, problemas, soluciones y próximo mantenimiento propuesto.

Evaluación a cada usuario, deberá contar con su nombre de usuario y contraseña para acceder a los equipos.

Evaluación a las claves, deberán ser seguras (mínimo 8 caracteres, alfanuméricos y alternando mayúsculas y minúsculas).

Verificación a los usuarios se desbloquearan después de 5 minutos sin

actividad Evaluación si los nuevos usuarios son

autorizados mediante contratos de confidencialidad que deben mantenerse luego de finalizada la relación laboral.

Evaluación del uso restringido de medios removibles (USB, CD-ROM, discos externos etc.)

NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS DE INFORMACION:NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS DE INFORMACION:S 14 Evidencias de Auditoria (Debe obtener evidencias de auditoría suficientes y apropiadas para llegar a conclusiones razonables sobre las que basar los resultados de la auditoría S 15 Control de TI (Debe evaluar y supervisar los controles de TI que son parte integral del entorno de Control Interno de la Organización.

L1 – A4 de 13


3. 3. ALCANCE DEL ALCANCE DEL TRABAJO TRABAJO

Evaluación de la unidad de tecnologías informática, comunicaciones y sistemas en lo que corresponde a:

11

Evaluación de los Sistemas 22

Evaluación de los equipos

33

Capacitación Planes de trabajo Controles Estándares

Capacidades Utilización Nuevos Proyectos Seguridad física y lógica Evaluación física y lógica

a) Evaluación de los diferentes sistemas en operación (flujo de información, procedimientos, documentación, redundancia, organización de archivos, estándares de programación, controles, utilización de los sistemas) b) Evaluación del avance de los sistemas en desarrollo y congruencia con el diseño general

c) Evaluación de prioridades y recursos asignados (humanos y equipos de cómputo)

d) Seguridad física y lógica de los sistemas, su confidencialidad y respaldos



MEMORÁNDUM DE PLANIFICACIÓN – EJERCICIO 2010NORMAS GENERALES PARA LA NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS DE AUDITORIA DE SISTEMAS DE INFORMACION:INFORMACION:S 15 Control de TI (Debe evaluar y supervisar los controles de TI que son parte integral del entorno de Control Interno de la Organización.

EL DESARROLLO DEL PRESENTE TRABAJO ESPECIAL SE DESARROLLA DE ACUERDO A:

El examen especial comprenderá la revisión de las operaciones efectuadas durante el periodo

Las Normas de Auditoria Generalmente Aceptadas (NAGA’s),

COBIT 4.1

Las Normas Internacionales de Auditoria (NIA’s)

En estricta observancia a lo previsto en las Normas Generales para la Auditoría de los Sistemas de Información.

01 de Enero del 2010 31 de Diciembre del 2010

pudiendo comprender periodo anterior y posterior a dicha fecha de

ser necesario.

DEL AL

L1 – A 4 de 13





NIAS:NIAS:220 control de calidad para el trabajo de auditoria

L1 – A5 de 13


4. 4. DESCRIPCIÓN DE LAS DESCRIPCIÓN DE LAS ACTIVIDADES DE LA ACTIVIDADES DE LA ENTIDADENTIDAD

El 3 de febrero del 2001, el gobierno aprobó la Ley N° 27415 creando políticamente el Distrito número 26 de Tacna: Crnl. Gregorio Albarracín Lanchipa, en el marco de la Ley Orgánica de Municipalidades Nº 27972.

La municipalidad distrital de coronel Gregorio Albarracín Lanchipa es una institución moderna e integrada sistemáticamente, tiene una gestión eficiente y transparente, brinda servicios de calidad cuyo objetivo principal es la atención personalizada y eficiente al poblador, promueve la participación vecinal, es responsable de la seguridad y de la gestión de desarrollo del distrito.

OBJETIVOSOBJETIVOS

Objetivo de Desarrollo Establecidos“Distrito CGAL con Desarrollo Sostenible

Objetivo Estratégico Institucional de la MDGALFortalecer el gobierno local para una gestión eficiente y transparente, el gobierno local se constituye en una instancia principal de brindar un mejor servicio de atención al poblador así como promover la participación vecinal, en su responsable de gestión de desarrollo del distrito, como tal se requiere su fortalecimiento e implementación institucional.

“Se considera Distrito Líder del Sur del País”

“Población Saludable, con valores y educación moderna”

“Participación activa, empleo activo turístico e industrial”




NORMAS GENERALES PARA LA AUDITORIA DE NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS DE INFORMACION:SISTEMAS DE INFORMACION:S 10 Gobernabilidad de TI (El auditor de debe revisar y evaluar si la función SI está alineada con la misión, visión, valores, objetivos y estrategias de la organización.

L1 – A6 de 13


5. 5. NORMATIVIDAD NORMATIVIDAD APLICABLE A LA ENTIDAD APLICABLE A LA ENTIDAD

CONSTITUCIÓN POLÍTICA DEL PERÚ (ARTICULO N°191)

LEY ORGÁNICA DE MUNICIPALIDADES LA ACTUAL LEY ORGÁNICA DE MUNICIPALIDADES (LEY Nº 27972)

LEY DE CREACIÓN DEL DISTRITO CORONEL GREGORIO ALBARRACIN LANCHIPA (LEY N° 27415)

LEY ORGÁNICA DE GOBIERNOS REGIONALES



MEMORÁNDUM DE PLANIFICACIÓN – EJERCICIO 2010NORMAS GENERALES PARA NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS LA AUDITORIA DE SISTEMAS DE INFORMACION:DE INFORMACION:S 9 Irregularidades y acciones Ilegales

NIAS:NIAS:310 conocimiento del negocio,230 documentación.

7. 7. IDENTIFICACION DE IDENTIFICACION DE LAS AREAS CRITICASLAS AREAS CRITICAS

El informe resultante de la presente Auditoria se remitirá dentro de los 40 días de iniciado; la distribución de los ejemplares será de la siguiente manera:

6. 6. INFORMES A EMITIR Y INFORMES A EMITIR Y FECHA DE ENTREGAFECHA DE ENTREGA

La presente acción de control estará orientada a la Unidad de Tecnologías Informática, Comunicaciones y Sistemas de la Municipalidad Distrital Coronel Gregorio Albarracín Lanchipa, para verificar el proceso técnico de la información contable de la entidad.

01 ejemplar a la Consejo Municipal 01 ejemplar a la Contraloría General de la

Republica 02 ejemplar a la oficina de Auditoria de

Interna Así mismo, al finalizar la evaluación del sistema de control interno se formulara el Memorándum de Control Interno correspondiente siempre en cuando lo amerite. Si en la ejecución de la auditoria, se evidencian indicios razonables de comisión de delito, se emitirá el Informe .

L1 – A7 de 13





NORMAS GENERALES PARA LA AUDITORIA DE NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS DE INFORMACION:SISTEMAS DE INFORMACION:S 9 Irregularidades y acciones Ilegales (Para reducir el riesgo de auditoría a un nivel bajo

NORMAS GENERALES PARA NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS LA AUDITORIA DE SISTEMAS DE INFORMACION:DE INFORMACION:S 7 Reporte (Debe suministrar un informe, en un formato apropiado, al finalizar la auditoría)




L1 – A8 de 13


NORMAS GENERALES PARA LA NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS DE AUDITORIA DE SISTEMAS DE INFORMACION:INFORMACION:S 8 Actividad de Seguimiento S 9 Irregularidades y acciones Ilegales

Examen Especial a la Unidad de Tecnologías Informática, Comunicaciones y Sistemas Periodo 2010 de la Municipalidad Distrital

Coronel Gregorio Albarracín Lanchipa


L1 – A9 de 13


8. 8. PUNTOS DE PUNTOS DE ATENCIONATENCION

Revisión del sistema informático y las computadoras ya que proveen y difunden información.

Verificación de los programas de seguridad y el mantenimiento de los equipos, programas y datos.

Los puntos de atención a tener en cuenta durante el trabajo de campo son los siguientes:

Para analizar y dimensionar la estructura por auditar se debe solicitar:

RECURSOS MATERIALES Y TECNICOS

Solicitar documentos sobre los equipos, número de ellos, localización y características.

• Estudios de viabilidad. • Número de equipos, localización y las características

(de los equipos instalados y por instalar y programados)

• Fechas de instalación de los equipos y planes de instalación.

• Contratos vigentes de compra, renta y servicio de mantenimiento.

• Contratos de seguros. • Convenios que se tienen con otras instalaciones. • Configuración de los equipos y capacidades actuales y

máximas. • Planes de expansión. • Ubicación general de los equipos. • Políticas de operación. • Políticas de uso de los equipos.

NORMAS GENERALES PARA LA NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS DE AUDITORIA DE SISTEMAS DE INFORMACION:INFORMACION:S 9 Irregularidades y acciones Ilegales (Planificar y realizar la auditoría para reducir el riesgo a un nivel bajo y debe tener en cuenta el riesgo de irregularidades y acciones ilegales

NORMAS GENERALES PARA LA AUDITORIA DE NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS DE INFORMACION:SISTEMAS DE INFORMACION:S 11 Uso y evaluación de riesgos en la planeación de Auditoria (Identificar y evaluar los riesgos relevantes)


9. 9. PERSONALPERSONAL C.P.C.C. Joel David Ramírez Álvarez : Supervisor

LIC. Eco. Mario Altamirano López : Auditor

LIC. Sistemas. Pamela Gutiérrez de la fuente

: Auditor

LIC. ADM. Camila Cárdenas Chávez : Auditor

ING.COM. Daniel Taype Calderon : Auditor

ABOG. Leonardo Porras Lazo : Auditor

C.P.C.C. Fernanda Torres de la Rosa : Auditor Jefe

L1 – A10 de

13

SISTEMAS Descripción general de los sistemas instalados y de los que estén por instalarse que

contengan volúmenes de información.

• Manual de formas. • Manual de procedimientos de los sistemas. • Descripción genérica. • Diagramas de entrada, archivos, salida. • Salidas. • Fecha de instalación de los sistemas. • Proyecto de instalación de nuevos sistemas.




NAGAS:NAGAS:cuidado o esmero profesionalNIAS:NIAS:300 planeaciónNORMAS GENERALES NORMAS GENERALES PARA LA AUDITORIA DE PARA LA AUDITORIA DE SISTEMAS DE SISTEMAS DE INFORMACION:INFORMACION:

S 6 Realización de labores de Auditoria

L1 – A11 de

13


Los

pri

nci

pale

s fu

nci

on

ari

os

com

pre

nd

idos

en

el p

rese

nte

exa

men

son

:10.

10.

FU

NC

ION

AR

IOS

DE

LA

F

UN

CIO

NA

RIO

S D

E L

A

EN

TID

AD

EX

AM

INA

DA

EN

TID

AD

EX

AM

INA

DA




NIAS:NIAS:310 conocimiento del negocio230 documentación.

L1 – A12 de

13


11. 11. PRESUPUESTO DE TIEMPO Y PRESUPUESTO DE TIEMPO Y CRONOGRAMA DE ACTIVIDADES CRONOGRAMA DE ACTIVIDADES

11.1 PRESUPUESTO DE TIEMPO




NORMAS GENERALES NORMAS GENERALES PARA LA AUDITORIA DE PARA LA AUDITORIA DE SISTEMAS DE SISTEMAS DE INFORMACION:INFORMACION:S 5 Planeación S 13 Uso del trabajo de Otros expertos (considerar el uso del trabajo de otros expertos para realizar laAuditoría)

NIAS:NIAS:300 planeación

L1 – A13 de

13


11.2 CRONOGRAMA DE ACTIVIDADES




NIAS:NIAS:300 planeación

NORMAS GENERALES PARA NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS LA AUDITORIA DE SISTEMAS DE INFORMACION:DE INFORMACION:S 5 PlaneaciónS 6 Realización de labores de Auditoria

PROGRAMA DE AUDITORIA DE SISTEMAS




CONCLUSIONESCONCLUSIONES

Examinar y analizar de los procedimientos administrativos y de los sistemas de control interno de la compañía auditada

En la Auditoria se detallara el resumen de toda la información obtenida, así como lo que se deriva de esa información, sean fallas de seguridad, organización o estructura empresarial.

Es importante reconocer y entrevistarse con los responsables del área de sistemas de la empresa para conocer con mayor profundidad el hardware y el software utilizado.

El auditor debe considerar si las pruebas de los controles ha sido completadas y confirmadas por un tercero independiente y si se puede confiar en las pruebas.

PRIMEROPRIMERO

SEGUNDOSEGUNDO

TERCEROTERCERO

CUARTOCUARTO

Auditoria de sistemas[1]

Economy & Finance

Transcript of Auditoria de sistemas[1]