Auditoria de sistemas[1]
-
Upload
cristian-mamani -
Category
Economy & Finance
-
view
862 -
download
1
Transcript of Auditoria de sistemas[1]
04/10/2011
10/10/2011
Examen a la Unidad de Tecnologías Informática, Comunicaciones y Sistemas Periodo 2010 de la Municipalidad Distrital Coronel
Gregorio Albarracín Lanchipa
MEMORÁNDUM DE PLANIFICACIÓN – EJERCICIO 2010
NAGAS:NAGAS:Normas Generales o PersonalesEntrenamiento y capacidad profesionalIndependenciaCuidado o esmero profesional
NORMAS GENERALES PARA NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS LA AUDITORIA DE SISTEMAS DE INFORMACION:DE INFORMACION:S 1 Estatuto( carta de compromiso deben ser aceptados y aprobados en el nivel apropiado dentro de la organización.S 2 Independencia S 3 Ética y normas profesionalS 4 Competencia ProfesionalS 5 Planeación
L1 – A1 de 13
M.CH.O Fecha: 04/Oct/2011D.T.Q.Fecha: 06/Oct/2011
La presente Auditoria de Sistemas se realiza en cumplimiento a las acciones programadas para el ejercicio 2011 por el Órgano de Control Institucional de la Municipalidad Distrital Coronel Gregorio Albarracín Lanchipa, el cual fue aprobado mediante Resolución de Contraloría Nº 374-2009-CG
1. 1. ORIGEN DE ORIGEN DE EXAMENEXAMEN
2. 2. OBJETIVOSOBJETIVOS
2.1 Objetivo General del examen
Revisión y evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad en la Unidad de Tecnologías Informática, Comunicaciones y Sistemas de la Municipalidad Distrital Coronel Gregorio Albarracín Lanchipa.
Examen a la Unidad de Tecnologías Informática, Comunicaciones y Sistemas Periodo 2010 de la Municipalidad Distrital Coronel
Gregorio Albarracín Lanchipa
MEMORÁNDUM DE PLANIFICACIÓN – EJERCICIO 2010
NIAS:NIAS:300 Planeación
NORMAS GENERALES PARA NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS LA AUDITORIA DE SISTEMAS DE INFORMACION:DE INFORMACION:S 5 Planeación
2.2. Objetivos específicos del examen
1. Para la evaluación de los sistemas tanto en operación como en desarrollo se llevarán a cabo las siguientes actividades:
2. Para la evaluación de los equipos se levarán a cabo las siguientes actividades:
Examen a la Unidad de Tecnologías Informática, Comunicaciones y Sistemas Periodo 2010 de la Municipalidad Distrital Coronel
Gregorio Albarracín Lanchipa
MEMORÁNDUM DE PLANIFICACIÓN – EJERCICIO 2010
L1 – A2 de 13
M.CH.O Fecha: 04/Oct/2011D.T.Q.Fecha: 06/Oct/2011
Solicitud del análisis y diseño del os sistemas en desarrollo y en operación
Solicitud de la documentación de los sistemas en operación (manuales técnicos, de operación del usuario, diseño de archivos y programas)
Recopilación y análisis de los procedimientos administrativos de cada sistema (flujo de información, formatos, reportes y consultas)
Análisis de llaves, redundancia, control, seguridad, confidencial y respaldos
Análisis del avance de los proyectos en desarrollo, prioridades y personal asignado
Entrevista con los usuarios de los sistemas Evaluación directa de la información obtenida
contra las necesidades y requerimientos del usuario
Análisis objetivo de la estructuración y flujo de los programas
Análisis y evaluación de la información recopilada Elaboración del informe
Solicitud de los estudios de viabilidad y características de los equipos actuales, proyectos sobre ampliación de equipo, su actualización Solicitud de contratos de compra y mantenimientos de equipo y sistemas Solicitud de contratos y convenios de respaldo Solicitud de contratos de Seguros Elaboración de un cuestionario sobre la utilización de equipos, memoria, archivos, unidades de entrada/salida, equipos periféricos y su seguridad Visita técnica de comprobación de seguridad física y lógica de la instalaciones de la Dirección de Informática Evaluación técnica del sistema electrónico y ambiental de los equipos y del local utilizado Evaluación de la información recopilada, obtención de gráficas, porcentaje de utilización de los equipos y su justificación.
NIAS:NIAS:310 conocimiento del negocio,220 control de calidad para el trabajo de auditoria230 documentación
Examen a la Unidad de Tecnologías Informática, Comunicaciones y Sistemas Periodo 2010 de la Municipalidad Distrital Coronel
Gregorio Albarracín Lanchipa
MEMORÁNDUM DE PLANIFICACIÓN – EJERCICIO 2010
L1 – A3 de 13
M.CH.O Fecha: 04/Oct/2011D.T.Q.Fecha: 06/Oct/2011
3. Para la evaluación de Existencia de normativa de hardware se levarán a cabo las siguientes actividades:
4. Para la evaluación de Política de acceso a equipos se levarán a cabo las siguientes actividades:
Evaluación del hardware, debe estar correctamente identificado y documentado.
Evaluación si cuenta con todas las órdenes de compra y facturas con el fin de contar con el respaldo de las garantías ofrecidas por los fabricantes.
Evaluación de acceso a los componentes del hardware esté restringido a la directo a las personas que lo utilizan.
Evaluación si cuenta con un plan de mantenimiento y registro de fechas, problemas, soluciones y próximo mantenimiento propuesto.
Evaluación a cada usuario, deberá contar con su nombre de usuario y contraseña para acceder a los equipos.
Evaluación a las claves, deberán ser seguras (mínimo 8 caracteres, alfanuméricos y alternando mayúsculas y minúsculas).
Verificación a los usuarios se desbloquearan después de 5 minutos sin
actividad Evaluación si los nuevos usuarios son
autorizados mediante contratos de confidencialidad que deben mantenerse luego de finalizada la relación laboral.
Evaluación del uso restringido de medios removibles (USB, CD-ROM, discos externos etc.)
NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS DE INFORMACION:NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS DE INFORMACION:S 14 Evidencias de Auditoria (Debe obtener evidencias de auditoría suficientes y apropiadas para llegar a conclusiones razonables sobre las que basar los resultados de la auditoría S 15 Control de TI (Debe evaluar y supervisar los controles de TI que son parte integral del entorno de Control Interno de la Organización.
L1 – A4 de 13
M.CH.O Fecha: 04/Oct/2011D.T.Q.Fecha: 06/Oct/2011
3. 3. ALCANCE DEL ALCANCE DEL TRABAJO TRABAJO
Evaluación de la unidad de tecnologías informática, comunicaciones y sistemas en lo que corresponde a:
11
Evaluación de los Sistemas 22
Evaluación de los equipos
33
Capacitación Planes de trabajo Controles Estándares
Capacidades Utilización Nuevos Proyectos Seguridad física y lógica Evaluación física y lógica
a) Evaluación de los diferentes sistemas en operación (flujo de información, procedimientos, documentación, redundancia, organización de archivos, estándares de programación, controles, utilización de los sistemas) b) Evaluación del avance de los sistemas en desarrollo y congruencia con el diseño general
c) Evaluación de prioridades y recursos asignados (humanos y equipos de cómputo)
d) Seguridad física y lógica de los sistemas, su confidencialidad y respaldos
Examen a la Unidad de Tecnologías Informática, Comunicaciones y Sistemas Periodo 2010 de la Municipalidad Distrital Coronel
Gregorio Albarracín Lanchipa
MEMORÁNDUM DE PLANIFICACIÓN – EJERCICIO 2010NORMAS GENERALES PARA LA NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS DE AUDITORIA DE SISTEMAS DE INFORMACION:INFORMACION:S 15 Control de TI (Debe evaluar y supervisar los controles de TI que son parte integral del entorno de Control Interno de la Organización.
EL DESARROLLO DEL PRESENTE TRABAJO ESPECIAL SE DESARROLLA DE ACUERDO A:
El examen especial comprenderá la revisión de las operaciones efectuadas durante el periodo
Las Normas de Auditoria Generalmente Aceptadas (NAGA’s),
COBIT 4.1
Las Normas Internacionales de Auditoria (NIA’s)
En estricta observancia a lo previsto en las Normas Generales para la Auditoría de los Sistemas de Información.
01 de Enero del 2010 31 de Diciembre del 2010
pudiendo comprender periodo anterior y posterior a dicha fecha de
ser necesario.
DEL AL
L1 – A 4 de 13
M.CH.O Fecha: 04/Oct/2011D.T.Q.Fecha: 06/Oct/2011
Examen a la Unidad de Tecnologías Informática, Comunicaciones y Sistemas Periodo 2010 de la Municipalidad Distrital Coronel
Gregorio Albarracín Lanchipa
MEMORÁNDUM DE PLANIFICACIÓN – EJERCICIO 2010
NIAS:NIAS:220 control de calidad para el trabajo de auditoria
L1 – A5 de 13
M.CH.O Fecha: 04/Oct/2011D.T.Q.Fecha: 06/Oct/2011
4. 4. DESCRIPCIÓN DE LAS DESCRIPCIÓN DE LAS ACTIVIDADES DE LA ACTIVIDADES DE LA ENTIDADENTIDAD
El 3 de febrero del 2001, el gobierno aprobó la Ley N° 27415 creando políticamente el Distrito número 26 de Tacna: Crnl. Gregorio Albarracín Lanchipa, en el marco de la Ley Orgánica de Municipalidades Nº 27972.
La municipalidad distrital de coronel Gregorio Albarracín Lanchipa es una institución moderna e integrada sistemáticamente, tiene una gestión eficiente y transparente, brinda servicios de calidad cuyo objetivo principal es la atención personalizada y eficiente al poblador, promueve la participación vecinal, es responsable de la seguridad y de la gestión de desarrollo del distrito.
OBJETIVOSOBJETIVOS
Objetivo de Desarrollo Establecidos“Distrito CGAL con Desarrollo Sostenible
Objetivo Estratégico Institucional de la MDGALFortalecer el gobierno local para una gestión eficiente y transparente, el gobierno local se constituye en una instancia principal de brindar un mejor servicio de atención al poblador así como promover la participación vecinal, en su responsable de gestión de desarrollo del distrito, como tal se requiere su fortalecimiento e implementación institucional.
“Se considera Distrito Líder del Sur del País”
“Población Saludable, con valores y educación moderna”
“Participación activa, empleo activo turístico e industrial”
Examen a la Unidad de Tecnologías Informática, Comunicaciones y Sistemas Periodo 2010 de la Municipalidad Distrital Coronel
Gregorio Albarracín Lanchipa
MEMORÁNDUM DE PLANIFICACIÓN – EJERCICIO 2010
NORMAS GENERALES PARA LA AUDITORIA DE NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS DE INFORMACION:SISTEMAS DE INFORMACION:S 10 Gobernabilidad de TI (El auditor de debe revisar y evaluar si la función SI está alineada con la misión, visión, valores, objetivos y estrategias de la organización.
L1 – A6 de 13
M.CH.O Fecha: 04/Oct/2011D.T.Q.Fecha: 06/Oct/2011
5. 5. NORMATIVIDAD NORMATIVIDAD APLICABLE A LA ENTIDAD APLICABLE A LA ENTIDAD
CONSTITUCIÓN POLÍTICA DEL PERÚ (ARTICULO N°191)
LEY ORGÁNICA DE MUNICIPALIDADES LA ACTUAL LEY ORGÁNICA DE MUNICIPALIDADES (LEY Nº 27972)
LEY DE CREACIÓN DEL DISTRITO CORONEL GREGORIO ALBARRACIN LANCHIPA (LEY N° 27415)
LEY ORGÁNICA DE GOBIERNOS REGIONALES
Examen a la Unidad de Tecnologías Informática, Comunicaciones y Sistemas Periodo 2010 de la Municipalidad Distrital Coronel
Gregorio Albarracín Lanchipa
MEMORÁNDUM DE PLANIFICACIÓN – EJERCICIO 2010NORMAS GENERALES PARA NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS LA AUDITORIA DE SISTEMAS DE INFORMACION:DE INFORMACION:S 9 Irregularidades y acciones Ilegales
NIAS:NIAS:310 conocimiento del negocio,230 documentación.
7. 7. IDENTIFICACION DE IDENTIFICACION DE LAS AREAS CRITICASLAS AREAS CRITICAS
El informe resultante de la presente Auditoria se remitirá dentro de los 40 días de iniciado; la distribución de los ejemplares será de la siguiente manera:
6. 6. INFORMES A EMITIR Y INFORMES A EMITIR Y FECHA DE ENTREGAFECHA DE ENTREGA
La presente acción de control estará orientada a la Unidad de Tecnologías Informática, Comunicaciones y Sistemas de la Municipalidad Distrital Coronel Gregorio Albarracín Lanchipa, para verificar el proceso técnico de la información contable de la entidad.
01 ejemplar a la Consejo Municipal 01 ejemplar a la Contraloría General de la
Republica 02 ejemplar a la oficina de Auditoria de
Interna Así mismo, al finalizar la evaluación del sistema de control interno se formulara el Memorándum de Control Interno correspondiente siempre en cuando lo amerite. Si en la ejecución de la auditoria, se evidencian indicios razonables de comisión de delito, se emitirá el Informe .
L1 – A7 de 13
M.CH.O Fecha: 04/Oct/2011D.T.Q.Fecha: 06/Oct/2011
Examen a la Unidad de Tecnologías Informática, Comunicaciones y Sistemas Periodo 2010 de la Municipalidad Distrital Coronel
Gregorio Albarracín Lanchipa
MEMORÁNDUM DE PLANIFICACIÓN – EJERCICIO 2010
NORMAS GENERALES PARA LA AUDITORIA DE NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS DE INFORMACION:SISTEMAS DE INFORMACION:S 9 Irregularidades y acciones Ilegales (Para reducir el riesgo de auditoría a un nivel bajo
NORMAS GENERALES PARA NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS LA AUDITORIA DE SISTEMAS DE INFORMACION:DE INFORMACION:S 7 Reporte (Debe suministrar un informe, en un formato apropiado, al finalizar la auditoría)
Examen a la Unidad de Tecnologías Informática, Comunicaciones y Sistemas Periodo 2010 de la Municipalidad Distrital Coronel
Gregorio Albarracín Lanchipa
MEMORÁNDUM DE PLANIFICACIÓN – EJERCICIO 2010
L1 – A8 de 13
M.CH.O Fecha: 04/Oct/2011D.T.Q.Fecha: 06/Oct/2011
NORMAS GENERALES PARA LA NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS DE AUDITORIA DE SISTEMAS DE INFORMACION:INFORMACION:S 8 Actividad de Seguimiento S 9 Irregularidades y acciones Ilegales
Examen Especial a la Unidad de Tecnologías Informática, Comunicaciones y Sistemas Periodo 2010 de la Municipalidad Distrital
Coronel Gregorio Albarracín Lanchipa
MEMORÁNDUM DE PLANIFICACIÓN – EJERCICIO 2010
L1 – A9 de 13
M.CH.O Fecha: 04/Oct/2011D.T.Q.Fecha: 06/Oct/2011
8. 8. PUNTOS DE PUNTOS DE ATENCIONATENCION
Revisión del sistema informático y las computadoras ya que proveen y difunden información.
Verificación de los programas de seguridad y el mantenimiento de los equipos, programas y datos.
Los puntos de atención a tener en cuenta durante el trabajo de campo son los siguientes:
Para analizar y dimensionar la estructura por auditar se debe solicitar:
RECURSOS MATERIALES Y TECNICOS
Solicitar documentos sobre los equipos, número de ellos, localización y características.
• Estudios de viabilidad. • Número de equipos, localización y las características
(de los equipos instalados y por instalar y programados)
• Fechas de instalación de los equipos y planes de instalación.
• Contratos vigentes de compra, renta y servicio de mantenimiento.
• Contratos de seguros. • Convenios que se tienen con otras instalaciones. • Configuración de los equipos y capacidades actuales y
máximas. • Planes de expansión. • Ubicación general de los equipos. • Políticas de operación. • Políticas de uso de los equipos.
NORMAS GENERALES PARA LA NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS DE AUDITORIA DE SISTEMAS DE INFORMACION:INFORMACION:S 9 Irregularidades y acciones Ilegales (Planificar y realizar la auditoría para reducir el riesgo a un nivel bajo y debe tener en cuenta el riesgo de irregularidades y acciones ilegales
NORMAS GENERALES PARA LA AUDITORIA DE NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS DE INFORMACION:SISTEMAS DE INFORMACION:S 11 Uso y evaluación de riesgos en la planeación de Auditoria (Identificar y evaluar los riesgos relevantes)
M.CH.O Fecha: 04/Oct/2011D.T.Q.Fecha: 06/Oct/2011
9. 9. PERSONALPERSONAL C.P.C.C. Joel David Ramírez Álvarez : Supervisor
LIC. Eco. Mario Altamirano López : Auditor
LIC. Sistemas. Pamela Gutiérrez de la fuente
: Auditor
LIC. ADM. Camila Cárdenas Chávez : Auditor
ING.COM. Daniel Taype Calderon : Auditor
ABOG. Leonardo Porras Lazo : Auditor
C.P.C.C. Fernanda Torres de la Rosa : Auditor Jefe
L1 – A10 de
13
SISTEMAS Descripción general de los sistemas instalados y de los que estén por instalarse que
contengan volúmenes de información.
• Manual de formas. • Manual de procedimientos de los sistemas. • Descripción genérica. • Diagramas de entrada, archivos, salida. • Salidas. • Fecha de instalación de los sistemas. • Proyecto de instalación de nuevos sistemas.
Examen Especial a la Unidad de Tecnologías Informática, Comunicaciones y Sistemas Periodo 2010 de la Municipalidad Distrital
Coronel Gregorio Albarracín Lanchipa
MEMORÁNDUM DE PLANIFICACIÓN – EJERCICIO 2010
NAGAS:NAGAS:cuidado o esmero profesionalNIAS:NIAS:300 planeaciónNORMAS GENERALES NORMAS GENERALES PARA LA AUDITORIA DE PARA LA AUDITORIA DE SISTEMAS DE SISTEMAS DE INFORMACION:INFORMACION:
S 6 Realización de labores de Auditoria
L1 – A11 de
13
M.CH.O Fecha: 04/Oct/2011D.T.Q.Fecha: 06/Oct/2011
Los
pri
nci
pale
s fu
nci
on
ari
os
com
pre
nd
idos
en
el p
rese
nte
exa
men
son
:10.
10.
FU
NC
ION
AR
IOS
DE
LA
F
UN
CIO
NA
RIO
S D
E L
A
EN
TID
AD
EX
AM
INA
DA
EN
TID
AD
EX
AM
INA
DA
Examen Especial a la Unidad de Tecnologías Informática, Comunicaciones y Sistemas Periodo 2010 de la Municipalidad Distrital
Coronel Gregorio Albarracín Lanchipa
MEMORÁNDUM DE PLANIFICACIÓN – EJERCICIO 2010
NIAS:NIAS:310 conocimiento del negocio230 documentación.
L1 – A12 de
13
M.CH.O Fecha: 04/Oct/2011D.T.Q.Fecha: 06/Oct/2011
11. 11. PRESUPUESTO DE TIEMPO Y PRESUPUESTO DE TIEMPO Y CRONOGRAMA DE ACTIVIDADES CRONOGRAMA DE ACTIVIDADES
11.1 PRESUPUESTO DE TIEMPO
Examen Especial a la Unidad de Tecnologías Informática, Comunicaciones y Sistemas Periodo 2010 de la Municipalidad Distrital
Coronel Gregorio Albarracín Lanchipa
MEMORÁNDUM DE PLANIFICACIÓN – EJERCICIO 2010
NORMAS GENERALES NORMAS GENERALES PARA LA AUDITORIA DE PARA LA AUDITORIA DE SISTEMAS DE SISTEMAS DE INFORMACION:INFORMACION:S 5 Planeación S 13 Uso del trabajo de Otros expertos (considerar el uso del trabajo de otros expertos para realizar laAuditoría)
NIAS:NIAS:300 planeación
L1 – A13 de
13
M.CH.O Fecha: 04/Oct/2011D.T.Q.Fecha: 06/Oct/2011
11.2 CRONOGRAMA DE ACTIVIDADES
Examen Especial a la Unidad de Tecnologías Informática, Comunicaciones y Sistemas Periodo 2010 de la Municipalidad Distrital
Coronel Gregorio Albarracín Lanchipa
MEMORÁNDUM DE PLANIFICACIÓN – EJERCICIO 2010
NIAS:NIAS:300 planeación
NORMAS GENERALES PARA NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS LA AUDITORIA DE SISTEMAS DE INFORMACION:DE INFORMACION:S 5 PlaneaciónS 6 Realización de labores de Auditoria
PROGRAMA DE AUDITORIA DE SISTEMAS
Examen Especial a la Unidad de Tecnologías Informática, Comunicaciones y Sistemas Periodo 2010 de la Municipalidad Distrital
Coronel Gregorio Albarracín Lanchipa
MEMORÁNDUM DE PLANIFICACIÓN – EJERCICIO 2010
CONCLUSIONESCONCLUSIONES
Examinar y analizar de los procedimientos administrativos y de los sistemas de control interno de la compañía auditada
En la Auditoria se detallara el resumen de toda la información obtenida, así como lo que se deriva de esa información, sean fallas de seguridad, organización o estructura empresarial.
Es importante reconocer y entrevistarse con los responsables del área de sistemas de la empresa para conocer con mayor profundidad el hardware y el software utilizado.
El auditor debe considerar si las pruebas de los controles ha sido completadas y confirmadas por un tercero independiente y si se puede confiar en las pruebas.
PRIMEROPRIMERO
SEGUNDOSEGUNDO
TERCEROTERCERO
CUARTOCUARTO