Metodologia de AuditoriaInformatica

Departamento de Informática

Universidad de Castilla-La Mancha

T3.METODOLOGÍA DE LA AUDITORÍA INFORMÁTICA

Metodología de la Auditoría Informática 2

Fases de Metodología de Auditoría InformáticaFases de Metodología de Auditoría Informática

1. Identificar el Alcance y los Objetivos de la AuditoríaInformática (A.I.)

2. Realizar el Estudio Inicial del entorno a auditar

3. Determinar los Recursos necesarios para realizar la auditoría

4. Elaborar el Plan de Trabajo

5. Realizar las Actividades de Auditoría

6. Realizar el Informe Final

7. Carta de Presentación y Carta de Manifestaciones


1. Alcance y Objetivos de la A.I.: Alcance1. Alcance y Objetivos de la A.I.: Alcance

Entorno y límites en que se realizará la A.I.HASTA DÓNDE SE LLEGAAcuerdo por escrito (entre auditor y cliente) cuando se

incluyen áreas no informáticas o cuando la empresa tiene varias sedes, de:– Funciones (Seguridad, Dirección, etc.)– Materias (S.O., BD, etc.)– Departamentos o Áreas Organizativas (Explotación, Sistemas,

Comunicaciones, etc.)

Su no definición pondrá en peligro el éxito de la A.I.Limitaciones: QUÉ DEJA DE AUDITARSE

– Principalmente en materias que pueden suponerse incluidas


1. Alcance y Objetivos de la A.I.: Objetivos1. Alcance y Objetivos de la A.I.: Objetivos

Auditor debe comprender con exactitud los deseos y pretensiones del cliente, para cumplir con los objetivos

Objetivos específicos– Necesidad de auditar una materia de gran especialización– Contrastar algún informe interno con el que resulte del externo– Evaluación del funcionamiento de áreas informáticas en un

determinado departamento– Aumentos de seguridad y fiabilidad– Aumento de calidad– Disminución de costes o plazos

Objetivos generales (comunes a toda A.I.)– Operatividad de los S.I.– Controles Generales de la Gestión Informática



Operatividad– Funcionamiento, aunque sea mínimo, de la organización y sus

máquinas (PCs, mainframes)– Conseguida a escala general y parcial (p.e. cajero y líneas)– Conseguida a través de:

• Controles Técnicos Generales (p.e. CPD diferentes)– Sistema operativo y software de base funcionan

simultáneamente con aplicaciones– Hw y Sw compatibles

• Controles Técnicos Específicos– Espacio en disco– Período de utilización de BD comunes



Controles Generales de la Gestión Informática– Verificar normas del Departamento de Informática y observar su

consistencia con las del resto de la empresa• Normas Generales de la Instalación Informática• Procedimientos Generales y Específicos del Departamento de

Informática (p.e. una aplicación no pasa a Explotación sin su correspondiente Documentación)

– Comprobar que no existen contradicciones con normas y procedimientos generales de la empresa

Interlocutores– Personas con poder de decisión y validación dentro de la empresa– Personas a las que va dirigido el informe


2. Estudio Inicial2. Estudio Inicial

Examinar situación general de funciones y actividades generales de la informática

Conocimiento de:– Organización: Estructura organizativa del Departamento de

Informática a auditar– Entorno de Operación: Entorno de trabajo– Aplicaciones Informáticas: Procesos informáticos realizados en la

empresa auditada• Bases de Datos• Ficheros


2. Estudio Inicial: Organización2. Estudio Inicial: Organización

Estructura organizativa del Departamento de Informática a auditar.

Organigrama: estructura informática de la organización a auditar

CONTROL GESTIÓN RR. HH.

PRODUCCIÓN PLANIFICACIÓN SOPORTETÉCNICO

EXPLOTACIÓN

COMUNICACIÓN BASES DATOS

SISTEMAS DESARROLLO SEGURIDAD

DIRECCIÓN


2. Estudio Inicial: Organización2. Estudio Inicial: Organización

Departamentos: describir sus funcionesRelaciones Jerárquicas y funcionales

– 1 Empleado con dos JefesFlujos de Información, tanto horizontales y oblicuas como

extradepartamentales y verticales– Canales alternativos que denotan lagunas en la estructura y

organigrama, o bien por simpatíasNúmero de Puestos de Trabajo

– Nombres de los puestos de trabajo corresponden a funciones distintas: Deficiencias en estructura si varios nombres con 1 función

Número de Personas por Puesto de Trabajo– Distribución de recursos ineficiente– Necesidad de reorganización


2. Estudio Inicial: Entorno Operativo2. Estudio Inicial: Entorno Operativo

Referencia del entorno de trabajo en el que el auditor va a trabajar

Situación Geográfica– Diferentes CPDs, con responsables y mismos estándares de trabajo

Arquitectura y Configuración Hardware y Software– Configuración de diferentes CPDs compatible y estén

intercomunicadosInventario Hardware y Software

– CPUs, procesadores, PCs, periféricos, etc.– Software básico, software interno y software comprado

Comunicaciones y Redes de Comunicación– Líneas de Comunicación– Acceso a red pública e intranet


2. Estudio Inicial: Aplicaciones Informáticas2. Estudio Inicial: Aplicaciones Informáticas

Procedimientos Informáticos realizados en la empresaVolumen, Antigüedad y Complejidad de las aplicaciones

– Periodicidad de ejecuciones de carga de trabajo

Metodología de desarrollo de aplicacionesDocumentación de aplicaciones

– Mantenimiento es el 70% de recursos

Cantidad y Complejidad de Bases de Datos y Ficheros– Tamaño y características de BD y Ficheros– Número de Accesos a BD y Ficheros– Frecuencia de Actualización


3. Recursos de la A.I.3. Recursos de la A.I.

A partir del Estudio Inicial, se determinan los recursos humanos y materiales

Recursos Materiales– Proporcionados por cliente en su mayoría– Software: paquetes de auditoría del equipo auditor, compiladores– Hardware: PCs, impresoras, líneas de comunicación– Determinación de incremento de carga del auditado y consenso en

fechas y duración de actividades de auditoría

Recursos Humanos– Cantidad depende del alcance de la auditoría– Perfil depende de la materia a auditar


3. Recursos de la A.I.3. Recursos de la A.I.

P rofesión A ctiv id ad es y con ocim ien tos d esead os

In fo rm át ico G enera lista C o n a m p lia exper ie nc ia en d ifere ntes ra m a s (po re je m p lo , E xp lo tac ió n, D esarro llo , S iste m as)

E xperto en D esarro llo deP ro yecto s

A m p lia e xp er ie nc ia co m o Je fe d e P ro yecto s.C o no cedor de las m eto do lo g ía s y técn ica s m á sim po rtantes de D esarro llo

T écn ico de S istem a s E xperto en S S .O O . y S o ftw are B ás ico . A m p lio sco no cim ie nto s de E xp lo tació n

E xperto en B D y suad m in istrac ió n

A m p lia e xper ie nc ia en B D y su m a nte n im ie nto , as íco m o en lo s p ro ducto s utiliz ado s para ello s.C o no cim iento s de E xp lo tació n

E xperto en So ftw are deC o m u n ica c io nes

C o no cim iento s p ro fundo s de R edes, línea s deco m u nica c ió n, te lep ro ceso , etc .

E xperto en E xp lo tació n R espo nsab le de a lgú n C P D . A m p lia exp er ienc ia enA uto m at izac ió n de T raba jo s.

T écn ico de O rgan izac ió n B uen coo rd inado r y o rgan izado s. E specia lista en e laná lis is d e flu jo s de in fo rm a c ió n

T écn ico de E va luac ió n deC o stes

E co no m ista co n co no cim ie nto s de in fo rm át ica


4. Plan y Asignación de Trabajos4. Plan y Asignación de TrabajosCalendario de actividades a realizar aprobado por responsables de área y

de auditoríaAspectos a tener en cuenta:

– Plan por grandes áreas: Elaboración más compleja y costosa que implica superior calidad, más tiempo total y mayores recursos

– Plan por áreas específicas: Resultado obtenido más rápidamente ycon menor calidad

– Auditoría de toda la Informática o Parcial: determinación del número de auditores y especialistas

Planificación de la Auditoría (Guía ISACA)– Conocimiento de la organización y de sus procesos, para

identificar problemas potenciales, alcance, etc.– Programa de auditoría: Calendario de trabajo (tareas y recursos) y

su seguimiento– Evaluación interna del control, mediante pruebas de cumplimiento

de los controles


5 . Actividades de la A.I.: Técnicas5 . Actividades de la A.I.: Técnicas

Revisión– Análisis de la información obtenida (principalmente a través de

cuestionarios y entrevistas) y de la propia

Entrevistas– Con método prestablecido y preparación– Gran elaboración de preguntas, orden– Desencadena en checklist: cuestionario minucioso, ordenado y

estructurado por materias

SimulaciónMuestreos


5. Actividades de la A.I.: Técnicas: Cuestionario5. Actividades de la A.I.: Técnicas: CuestionarioObjetivo de Control ¿Cuáles son los procedimientos de

control correspondientes a este objetivo?

1. Modificación en las aplicaciones

La Dirección debería establecerprocedimientos adecuados para asegurarque se controlan las modificaciones quepuedan producirse en las aplicaciones.

Tener en cuenta los siguientes aspectos:

¿Revisa o está implicada la direcciónen la implantación y el control de lasmodificaciones que se realicen en lasaplicaciones?.

¿Recoge la dirección comentarios delos usuarios sobre la calidad funcionaly operacional de las operaciones?.

¿Revisa la dirección los informescorrespondientes o participa en laspruebas a las que se someten lasmodificaciones, incluyendoinformación sobre el volumen demodificaciones realizadas en lasaplicaciones, cambios de emergencia,solicitudes sin atender, etc.


5. Actividades de la A.I.: Herramientas5. Actividades de la A.I.: Herramientas

Cuestionario generalCuestionario-ChecklistSimuladores (generadores de datos)Paquetes de Auditoría (generadores de programas)

– Rastrear los caminos de los datos– Utilizados principalmente en auditorías no informáticas– Paquetes de parametrización de librerías


5. Actividades de la A.I.5. Actividades de la A.I.

Movilización– Mantener reunión de planificación inicial para:

• Determinar el proceso más eficaz-rentable de obtención de información

• Determinar el uso de especialistas / herramientas sectorialesEntorno de Control

– Registrar y evaluar el entorno de control de la empresaInformación del negocio/sector

– Planificar la utilización de tecnología– Obtener comprensión del negocio, estructura, riesgos– Discutir preocupaciones, necesidades, expectativas

Información sobre los sistemas y el entorno informático– Evaluando los controles de supervisión



Estrategia de auditoría– Reunión de planificación

Preparar los programas de auditoría– Para las áreas de auditoría, analizando riesgos de error y fraudes

identificados

Preparar un plan de tareas– Calendario e información a entregar del cliente– Plan de tareas, con asignación de tiempos– Roles y responsabilidades de miembros del equipo auditor y

estrategia para comunicación para revisar, asignar tareas y acordar objetivos

– Establecer medidas para supervisar el progreso, incluyendo reuniones periódicas



Comunicación del plan– Informar a los miembros del equipo– Presentar al cliente el plan de auditoría

Ejecución– Documentar, evaluar y probar controles de supervisión de las

aplicaciones– Informar al cliente sobre estado del trabajo y conclusiones

alcanzadas

Otros procedimientos de auditoría– Informes finales

Revisión– Completar los pasos y tareas del trabajo



Finalización– Completar y revisar el tratamiento informático. Responder a

excepciones– Aspecto críticos importantes han sido resueltos, documentados y

comunicados al cliente y al equipo– Carta de manifestaciones del cliente– Firma del auditor

Información al cliente– Comunicar las debilidades significativas de control interno y las

recomendaciones oportunas

Evaluaciones– Calidad del servicio en relación con las expectativas del cliente


6. Informe Final: Guía ISACA6. Informe Final: Guía ISACA

Relación con los Estándares– Estándar 070.010: Contenido e Impreso del Informe– El Informe de Auditoría indica:

• Alcance• Objetivos• Período de cobertura• Naturaleza y extensión del trabajo de auditoría• Organización• Destinatarios del informe• Restricciones• Hallazgos• Conclusiones• Recomendaciones



Necesidad de la guía– Describir prácticas recomendadas para preparar un informe de

auditoríaRealización del informe

– Estilo y Contenido: Objetivo, claro, conciso, constructivo y oportuno

• Apropiado a los destinatarios• Identificar organización auditada• Incluye título, firma y fecha

– Objetivos (lo que trata de cumplir la auditoría)– Alcance: naturaleza, tiempo y extensión del trabajo de auditoría

• Área funcional• Período de auditoría• Sistemas de información, aplicaciones o entornos auditados



Realización del Informe (continuación)– Restricción sobre su distribución– Hallazgos significativos de la auditoría (causas y riesgos)– Conclusión: evaluación del auditor sobre el área auditada– Recomendaciones, para realizar acciones correctivas– Presentación: lógica y organizada– Estar a tiempo para fomentar las acciones correctivas puntualmente– Consideraciones de eventos subsiguientes

• Fraude descubierto después de la auditoría• Incendio después de la revisión de controles

Ética y estándares profesionalesActividades subsiguientes

– Petición de contestación, que incluya las acciones correctivas como resultado del informe


7. Otra Documentación7. Otra Documentación

Carta de Presentación del Informe Final– Resumen en 3 ó 4 folios del contenido del informe final– Incluye fecha, naturaleza, objetivos y alcance de la auditoría– Cuantifica la importancia de las áreas analizadas– Proporciona una conclusión general, concretando las áreas de gran

debilidad– Presentar las debilidades en orden de importancia

Carta de Manifestaciones– La Dirección de la empresa auditada confirma que se han mostrado

transparente y han proporcionado toda la información necesaria para la auditoría

– En papel con membrete de la empresa auditada– Firman los responsables de los áreas relacionados con la auditoría:

Presidente, Consejero Delegado, Director General


8. Estructura del Informe Final8. Estructura del Informe Final

Título o Identificación del Informe– Distinguirlo de otros informes

Fecha de ComienzoMiembros del Equipo AuditorEntidad auditadaIdentificación de destinatariosFinaliza con

– Nombre, Dirección y Datos Registrales del Auditor– Firma del Auditor– Fecha de emisión del informe


8. Estructura del Informe Final8. Estructura del Informe Final

Objetivos y Alcance de la Auditoría– Estándares, especificaciones, prácticas y procedimientos utilizados– Excepciones aplicadas

Materias consideradas en la auditoría– Situación actual

• Hechos importantes• Hechos consolidados

– Tendencias, de situación futura– Puntos débiles y amenazas (hecho = debilidad)

• Hecho encontrado• Consecuencias del hecho• Repercusión del hecho (influencias sobre otros aspectos)• Conclusión del hecho

– Recomendaciones– Redacción de la Carta de Presentación


8. Estructura del Informe Final: Tipos de Informes8. Estructura del Informe Final: Tipos de Informes

Función de opinión del auditor respecto a los objetivos de la auditoría

Favorable o sin salvedades: trabajo realizado– Sin limitaciones de alcance y sin incertidumbre– De acuerdo con la normativa legal y profesional

Con salvedadesDesfavorable

– Identificación de irregularidades– Incumplimiento de la normativa legal y profesional que afecte a

significativamente a los objetivos estipulados

Denegada– Limitaciones al alcance– Incertidumbres significativas– Irregularidades– Incumplimiento de normativa lega y profesional


8. Estructura del Informe Final: Tipos de Informes:Con salvedades

8. Estructura del Informe Final: Tipos de Informes:Con salvedades

– Limitaciones al alcance• El auditor no puede aplicar los procedimientos de auditoría requeridos

por la normativa legal y profesional o según su juicio profesional• Provenientes de la propia entidad auditada• Considerar la naturaleza y magnitudes del efecto potencial de los

procedimientos omitidos y su importancia relativa

– Incertidumbres• Desenlace que no se puede estimar por depender de que suceda, o no,

algún otro hecho: litigios, juicios, etc.

– Errores e incumplimiento de normativa legal y profesional

• Utilización de principios distintos a los generalmente aceptados• Ausencia de información

– Cambios durante el ejercicio respecto a los del ejercicio anterior


8. Estructura del Informe Final: Pautas del Lenguaje yRedacción del Informe

8. Estructura del Informe Final: Pautas del Lenguaje yRedacción del Informe

Títulos: expresivos y brevesPárrafos

– Un solo asunto por párrafo– 8 ó 10 líneas por párrafo

Frases– Una sola idea por frase– No más de 3 líneas

Otros consejos– Lenguaje sobrio y normal– Voz activa, nunca pasiva– Omitir palabras innecesarias (con referencia a, consecuentemente con,

etc.)– Evitar redundancias– No utilizar adverbios y adjetivos simultáneamente

Documents

Metodologia de AuditoriaInformatica