Ing. Juan Manuel Lemus PoncianoLibro Texto: Auditora en Informtica Autor: Echenique Garca, Jos AntonioU.M.G, Segundo Semestre 2013

Caso para anlisis:El da anterior al cierre del mes, se present una incidencia en la Divisin de Informtica: Uno de los equipos de comunicacin E1, instalado por el proveedor de acceso a internet, fall en forma inesperada, por lo que se perdi la conectividad de los clientes al sitio Web de la empresa, durante 4 horas, hasta que se pudo obtener el soporte del mismo. Al revisar el equipo, se encontr que los componentes electrnicos se daaron por la falla del fusible de un UPS que haba sido reportado como daado 15 das antes. Al revisar en bodega, se tena existencia de dicho fusible. Al consultar al personal tcnico, informaron que por tratarse de equipos externos, no tenan autorizacin para acceder o manipular el mismo, por lo que se limitaron a reportarlo. Adicionalmente, por norma de la empresa, si un equipo no est registrado en el inventario, no puede comprrsele ningn tipo de repuesto o aplicarle servicio. Se le solicita:Explique 3 implicaciones de tener equipo ajeno a la empresa en la misma.Los tcnicos que analizaron el equipo, procedieron adecuadamente? Por Qu?Proponga 2 probables mejoras para reducir o mitigar los efectos de este tipo de falla en la empresa.

INTRODUCCINEn el registro formal de datos, surgen las interrogantes:En dnde, cmo y para qu concentrar los datos que se obtienen en la auditora de sistemas?Los datos recopilados sirven para fundamentar las observaciones y para emitir un dictamen?En dnde, cundo y para qu se registra la informacin que se obtiene en la auditora?Qu medios se utilizan para concentrar, validar, tabular e interpretar los datos obtenidos?

INTRODUCCIN, cont.e) Quin es el responsable de registrar, concentrar y controlar la informacin recopilada durante la auditora?f) En donde, cundo, por qu y cmo se registra la informacin documental, la emitida por el sistema computacional y la recopilada directamente en el campo?g) Qu tan vlido es guardar la informacin recopilada del sistema computacional en medios electromagnticos?

DEFINICINConjunto de cdulas y documentacin fehaciente que contiene los datos e informacin por el auditor en su examen, as como la descripcin de las pruebas realizadas, las cuales sustenta para emitir un informe.

OBJETIVOS E IMPORTANCIARespaldo y fundamento de:DictamenCarta de observacionesInformacin PosteriorAutoridades fiscalesAutoridades JudicialesOtros auditoresAl cliente o entidad

OBJETIVOS E IMPORTANCIAEVIDENCIACOMPROBAR LA CALIDADGUIA

PRINCIPIOSClaridadExactitudSignificancia en los datosComprobacin de la informacinLegibilidadOrganizacin

REQUISITOSNombre de la empresa a que se refieran Fecha de realizacin Ttulo o descripcin breve de su contenidoNombre del evaluador Fuentes o documentos objeto de evaluacin de los datos Descripcin del contendido Resultados obtenidos o conclusiones

DEBEN CONTENER:Hoja de identificacin.ndice de contenido de los papeles de trabajo.Dictamen preliminar (borrador)Resumen de desviaciones encontradas (Las ms importantes).Situaciones encontradas (situaciones, causas y soluciones)Programa de trabajo de auditoria.Gua de la auditoria.Inventarios: Hardware, software, perifricos, instalaciones, mobiliario, segn sea aplicable.Manual de organizacin.Descripcin de puestos.

DEBEN CONTENER: cont.Reporte de pruebas y resultados.Respaldos (backups) de datos y programas de aplicacin de la auditora.Respaldos de las bases de datos y los sistemas.Guas de claves para sealamiento de papeles de trabajo.Cuadros y estadsticas concentradores de informacin.Anexos de recopilacin de informacin.Diagramas de flujo, de programacin y de desarrollo de sistemas.Testimoniales, actas y documentos legales de comprobacin y confirmacin.Anlisis y estadsticas de resultados, datos y pruebas de comportamiento del sistema.Otros documentos de apoyo.

NO DEBEN CONTENER:

NO SER COPIA DE LA CONTABILIDAD DE LA EMPRESANO SER LA COPIA DE LOS ESTADOS FINANCIEROSNO SER COPIA DE LA AUDITORIA DEL AO PASADO

CLASIFICACINPor su usoContinuo TemporalPor su ContenidoHojas de trabajoCdulas SumariasRelaciones de CuentasCdulas de detalle o analtica

Manejo de los papeles de TrabajoMarcas

ndices

Asientos de Ajustes

Reclasificacin

ConsideracionesControl

Confidencialidad

Propiedad

Procesamientos Electrnico de DatosConocimiento

Utilizacin

Apoyo

Complejidad

CEDULA DE ANLISIS DE NOMBRE DE LA EMPRESA

Instrumentos de recopilacin de Informacin aplicables en la A.S.Cuestionarios.Preguntas abiertas.Preguntas cerradas.Preguntas dicotmicas.Preguntas tricotmicas.De opcin mltipleDe opcin de rangos o grupos.Gradacin (Preguntas de grados opuestos)Preguntas testigo.Preguntas Matriz.

Instrumentos de recopilacin de Informacin aplicables en la A.S.EntrevistasCiclo de la entrevista de auditora.Tipos de entrevistas para una auditoria.Entrevistas libres.Entrevistas dirigidas.Entrevistas de exploracin.Entrevistas de comprobacin.Entrevistas de informacin.Entrevistas Informales.Tipos de preguntas para en trevistas.Abiertas.Cerradas.SondeoCierreMixtas

Instrumentos de recopilacin de Informacin aplicables en la A.S.Formas de realizar las entrevistas.Entrevistas tipo embudo. De lo general a lo concreto.Entrevistas tipo pirmide. De lo Cerrado a lo General.Entrevistas tipo diamante.Entrevistas tipo reloj de arena.Formas de recopilar la informacin en las entrevistas.Entrevistas grabadas.Tomar notasCaptar lo esencial sin notas.Otras formas ( De segunda mano, ocultas, disfrazadas)

Instrumentos de recopilacin de Informacin aplicables en la A.S.Ventajas de los cuestionarios.Facilitan la recopilacin de la informacin y no necesitan muchas explicaciones ni una gran preparacin para aplicarlos.Permiten rpida tabulacin e interpretacin de los datos, con la confiabilidad requerida.Evitan la dispersin de la informacin, al centrarse en preguntas de eleccin forzosa.Rpidos de aplicar, recopilan mucha informacin en poco tiempo.Fcil de capturar, concentrar y obtener informacin til usando la computador.Hacer impersonal la aportacin de respuestas.

Instrumentos de recopilacin de Informacin aplicables en la A.S.Desventajas de los cuestionarios.Falta de profundidad de las respuestas.Se necesita buena eleccin del universo y las muestras utilizadas.Puede provocar la obtencin de datos equivocados si se formulan mal las preguntas.La Interpretacin y el anlisis puede ser muy simple, si no se recopilan todos los puntos requeridos.Limitan la participacin del auditado, si ste puede evadir preguntas importantes.Hace impersonal la participacin del personal auditado.Si no est bien hecho, denota falta de experiencia y pocos conocimientos del auditor.

CEDULA DE ANALISIS DE SEGURIDAD LGICA

CEDULA DE ANALISIS DE SEGURIDAD FISICA

CEDULA DE ANALISIS DEL PERSONAL

CEDULA DE ENTREVISTA

GUIA DE LA ENTREVISTAAspectos generales para todas las entrevistasPersona evaluadaNombre de puestoPuesto del jefe inmediatoPuesto a los que reportaPuestos de las personas que reportan al entrevistadoNmero de personasDescripcin de actividades diarias del puestoActividades PeridicasActividades EventualesCon qu manuales cuenta para el desempeo de su puesto?Cules polticas se tienen establecidas para el puesto?Seale alguna laguna en cuanto a su organizacin, puesto, o procesos que realice:Considera que tiene cargas en su trabajo?Cmo las maneja o controla?Con que frecuencia recibe capacitacin y de que tipo?Cmo considera el ambiente de trabajo?

Especficos para seguridad lgicaHay controles establecidos para el seguimiento de los procedimientos que realiza?Quin los define?Estn en funcionamiento?Se actualizan?Qu tipo de controles existen en su rea?Es necesario modificarlos para que funcionen mejor?Hacen falta mas controles en su rea?Con qu frecuencia hay desviaciones?Si existen desviaciones, se informan a los niveles?Se toman las acciones correctivas si existen desviaciones?Se revisan peridicamente los elementos del control interno?La empresa cuenta con un manual general de sistemas y procedimientos?Se actualizan peridicamente los manuales?Existen sistemas y procedimientos formales y documentados para el control de su rea por aplicaciones?Estn actualizados?Son adecuados y suficientes?Se han elaborado sistemas y procedimientos en su rea?Se dispone de infraestructura para el desarrollo de sistemas y procedimientos en su rea?Conoce los sistemas y procedimientos a realizar en su rea?Cmo se les da a conocer?Existen sistemas y procedimientos o sistemas automatizados?Cules son?Se ajustan el registro y control de los sistemas y procedimientos a las necesidades de la empresa?

Especficos para seguridad fsicaExiste algn procedimiento para autorizacin de ingreso de personas externas (de otra rea o empresas)?Formas de autenticacin que validan el ingreso?Quines autorizan el ingreso al centro de cmputo?Quines solicitan el ingreso?Con cuanto tiempo de anticipacin se solicita el ingreso de externos (de rea o empresas) al centro?Se tiene algn formulario para la dicha solicitud?Si no existe formulario de qu manera se hace la solicitud?Qu datos se necesitan para la autorizacin del ingreso?Existe una bitcora de registro de los visitantes?Hay algn procedimiento de revisin de bitcoras?De ser afirmativo quienes lo revisan?Hay procedimiento que constata la salida del visitante?Existe algn procedimiento para autorizacin de ingreso de equipo al centro de cmputo?Describa el procedimiento brevemente?Existe algn procedimiento para autorizacin de egreso de equipo?Describa el procedimiento brevemente?

De el personal Existen polticas para contratacin de familiares dentro del centro de cmputo?Cul es el nivel de escolaridad mnima requerida para contratacin?Cualidades requeridas del personal a contratar?Existe un procedimiento definido para el requerimiento de personal?Si la respuesta es si descrbalo brevemente?Se realizan evaluaciones de desempeo?Con qu periodicidad?Quin las realiza?Criterios relevantes de la evaluacin?

Aplicacin

Aplicacin

Aplicacin

Aplicacin

INTRODUCCINLa descentralizacin de los equipos de cmputo y la centralizacin de la informacin.

Auditora a los procesos que involucran tecnologa de informacin.

El Informe de Auditora es el producto final y el exponente de calidad del trabajo de auditora.

En el informe de auditora solamente se deben anotar las observaciones objetivas e importantes.

PROCEDIMIENTO PARA ELABORAR EL INFORME DE AUDITORIA DE SISTEMAS

Aplicar instrumentos de recopilacinRegistrar las desviaciones halladas durante la revisin en el formato de situaciones encontradas Comentar las situaciones encontradascon los auditadosEncontrar las causas de las desviacionesy sus posibles soluciones con los auditadosAnalizar, depurar y corregir las desviaciones encontradasJerarquizar las desviaciones encontradasms relevantes situaciones relevantes Comentar situaciones relevantes con los directivosconfirmando las causas y soluciones Concentrar, depurar y elaborar elinforme final y el dictamen del auditor

Presentacin del informe y dictamen final a los directivos de la empresa

123456789

CARACTERSTICAS DEL INFORME DE AUDITORIA DE SISTEMASCaractersticas de fondoCaractersticas de forma

Caractersticas de la presentacin del informeClaridadConfiabilidadPropiedadConcisinSencillezAcertividadIlacinTono y fuerzaSintaxisOportunidadPrecisinExactitudImparcialidadObjetividadCongruenciaFamiliaridadVeracidadEfectividad

Estructura del informe de auditoria de sistemas computacionalesOficio de PresentacinIntroduccinDictamen de la AuditoriaSituaciones RelevantesSituaciones EncontradasAnexosConfirmaciones en Papeles de Trabajo

TIPOS DE DICTAMEN Existen cuatro tipos de Dictamen en auditora:

A. DICTAMEN FAVORABLE. B. DICTAMEN CON SALVEDADES.

C. DICTAMEN DESFAVORABLE. D. DICTAMEN DENEGADA.

DICTAMEN FAVORABLE Una Dictamen favorable, limpia, positiva o sin salvedades, expresa que el auditor ha quedado satisfecho, en todos los aspectos importantes, de que los estados financieros objeto de la auditora renen los requisitos necesarios.

DICTAMEN CON SALVEDADESEste tipo de Dictamen es aplicable cuando el auditor concluye que existen una o varias circunstancias en relacin con las cuentas anuales tomadas en su conjunto, que pudieran ser significativas.

DICTAMEN CON SALVEDADESLas distintas circunstancias que pueden originar una Dictamen con salvedades son:Limitaciones al alcanceIncertidumbresErrores o incumplimientos de los principios y normas contables generalmente aceptados

DICTAMEN DESFAVORABLEUna Dictamen desfavorable supone manifestarse en el sentido de que las cuentas anuales tomadas en su conjunto no presentan la imagen fiel del patrimonio, de la situacin financiera, del resultado de las operaciones o de los cambios en la situacin financiera de la entidad auditada, de conformidad con los principios y normas generalmente aceptados.

DICTAMEN DENEGADOTambien llamado Abstencion de DictamenCuando el auditor no ha obtenido la evidencia necesaria para formarse una Dictamen sobre las cuentas anuales tomadas en su conjunto, debe manifestar en su informe que no le es posible expresar una Dictamen sobre las mismas.La necesidad de denegar la Dictamen puede originarse exclusivamente por:- Limitaciones al alcance de auditora y/o - Incertidumbres.

APLICACION

APLICACIONDICTAMENSITUACIONES ENCONTRADASSITUACIONES RELEVANTES

CONCLUSIONESEl auditor informtico ha de velar por la correcta utilizacin de los recursos de T.I.

Para la realizacin de una auditora informtica eficaz, se debe entender a la empresa en su ms amplio sentido. Para poder evaluar un sistema de cmputo hay que conocerlo desde el inicio hasta el final.

El prrafo de opinin debe de mostrar claramente el juicio final del auditor.

RECOMENDACIONESContar en todo momento, con el apoyo de la gerencia o el alto mando.

El prrafo introductorio debe contener un amplio resumen de la auditora, y un enfoque a las personas responsables en la organizacin.

El informe de auditora solamente debe contener hechos importantes.

Los hechos encontrados por el auditor implican la existencia de debilidades que deben ser corregidas.

****