Ing. José Luis Llamas Cárdenas

Actividad 1: Concepto de

Auditoria

En grupos de 3 mediante la dinámica

entrevistado – entrevistador, listar

palabras relacionadas con:

Auditoria

Sistemas

Informática

Exponer el resultado de la dinámica y

elaborar una definición grupal de

Auditoría de sistemas Informáticos

Actividad 2: Concepto de

Auditoria

En equipos de 4 personas deberán

elaborar 2 Aviones chicos 2 grandes y 3

barcos de papel

Uno de los integrantes auditará el

proceso y presentará a la clase su

informe de auditoria.

Control

Conjunto de disposiciones metódicas,

cuyo fin es vigilar las funciones y

actitudes de las empresas y para ello

permite verificar si todo se realiza

conforme a los programas adoptados,

ordenes impartidas y principios

admitidos.

Clasificación general de los

controles Controles Preventivos

Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo,

permitiendo cierto margen de violaciones .

Ejemplos: Letrero “No fumar” para salvaguardar las instalaciones,

Sistemas de claves de acceso

Controles detectivos

Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta

luego de ocurridos. Son los mas importantes para el auditor. En cierta forma sirven

para evaluar la eficiencia de los controles preventivos.

Ejemplo: Archivos y procesos que sirvan como pistas de auditoría,

Procedimientos de validación

Controles Correctivos

Ayudan a la investigación y corrección de las causas del riesgo. La corrección

adecuada puede resultar dificil e ineficiente, siendo necesaria la implantación de

controles detectivos sobre los controles correctivos, debido a que la corrección de

errores es en si una actividad altamente propensa a errores.

Actividad 3: Tipos de Controles

En grupos de 3 proporcionar controles

para un laboratorio de computo escolar

y clasificarlos en los tipos de controles.

Exponer el resultado de trabajo frente a

la clase

Principales controles físicos y lógicos

Autenticidad Permiten verificar la identidad

○ Passwords

○ Firmas digitales

Exactitud Aseguran la coherencia de los datos

○ Validación de campos

○ Validación de excesos

Totalidad Evitan la omisión de registros así como garantizan la conclusión de un

proceso de envió○ Conteo de registros

○ Cifras de control

Redundancia Evitan la duplicidad de datos

○ Cancelación de lotes

○ Verificación de secuencia

Principales controles físicos y lógicos

Privacidad Aseguran la protección de los datos

○ Compactación

○ Encriptación

Existencia Aseguran la disponibilidad de los datos

○ Bitácora de estados

○ Mantenimiento de activos

Protección de Activos Destrucción o corrupción de información o del hardware

○ Extintores

○ Passwords

Efectividad Aseguran el logro de los objetivos

○ Encuestas de satisfacción

○ Medición de niveles de servicio

Eficiencia Aseguran el uso óptimo de los recursos

○ Programas monitores

○ Análisis costo-beneficio

Controles automáticos lógicos

Periodicidad de cambio de claves de

acceso

Verificación de datos de entrada

Conteo de registros

Actividad 4

¿La aplicación de que controles internos podría generar tensión en los trabajadores de una empresa?

¿Cuál es el objetivo de la aplicación de un control interno?

¿Cómo justificaría ante un directivo la inversión necesaria para la aplicación de controles internos?

Obtención y análisis de la Información

Obtención y análisis de

información

La primer tarea de un auditor es conocer el estado actual de operación

Puede realizar entrevistas, revisar documentación, visitas a areas de trabajo

No hay que perder de vista que la finalidad de una auditoria es entregar un reporte a directivos

Por lo tanto hay que diseñar instrumentos de recolección de información

Actividad 1

Realizar un instrumento para conocer la

actualidad de un laboratorio de

cómputo.

Dicho instrumento consistirá en 10

rubricas que den una idea general de la

situación actual

Elaborar dicho instrumento en equipos y

exponer para compartir con el resto de

la clase

Investigación preliminar

Se deberá observar el estado general

del área, su situación dentro de la

organización, si existe la información

solicitada, si es o no necesaria y la

fecha de su última actualización.

Se debe hacer la investigación

preliminar solicitando y revisando la

información de cada una de las áreas

basándose en los siguientes puntos:

Administración

Se recopila la información para obtener

una visión general del departamento por

medio de observaciones, entrevistas

preliminares y solicitud de documentos

para poder definir el objetivo y alcances

del departamento.

PARA ANALIZAR Y DIMENSIONAR LA

ESTRUCTURA POR AUDITAR SE

DEBE SOLICITAR:

Área Informática Objetivos a corto y largo plazo.

RECURSOS MATERIALES Y TECNICOS Solicitar documentos sobre los equipos, número de ellos, localización y características.

Estudios de viabilidad.

Número de equipos, localización y las características (de los equipos instalados y por instalar y programados)

Fechas de instalación de los equipos y planes de instalación.

Contratos vigentes de compra, renta y servicio de mantenimiento.

Contratos de seguros.

Convenios que se tienen con otras instalaciones.

Configuración de los equipos y capacidades actuales y máximas.

Planes de expansión.

Ubicación general de los equipos.

Políticas de operación.

Políticas de uso de los equipos.

Área Sistemas

Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información.

Manual de formas.

Manual de procedimientos de los sistemas.

Descripción genérica.

Diagramas de entrada, archivos, salida.

Salidas.

Fecha de instalación de los sistemas.

Proyecto de instalación de nuevos sistemas.

Recolección de información

En el momento de hacer la planeación de la auditoría o bien su realización, debemos evaluar que pueden presentarse las siguientes situaciones.

Se solicita la información y se ve que:

No tiene y se necesita.

No se tiene y no se necesita.

Se tiene la información pero:

No se usa.

Es incompleta.

No esta actualizada.

No es la adecuada.

Se usa, está actualizada, es la adecuada y está completa.

El éxito del análisis crítico depende de las consideraciones siguientes:

Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin fundamento)

Investigar las causas, no los efectos.

Atender razones, no excusas.

No confiar en la memoria, preguntar constantemente.

Criticar objetivamente y a fondo todos los informes y los datos recabados

Actividad 2

Se planea implementar un

departamento de auditoría de sistemas

en su empresa, se le ha dado la tarea

de elaborar un anuncio que se publicará

solicitando al auditor.

Solicito Auditor de Sistemas

informáticos

Requisitos:

Requisitos: Egresado de la UAC

Confiable

Sexo indistinto

Conocimientos Básicos en Administración, Contabilidad e Informática

Lic. O Ing. Titulado en Sistemas

Facilidad de Palabra

Honesto

Buena presentación

// Trabajo bajo presión

Experiencia mínima 1-2 años como auditor(a)

Disponibilidad de horario

Disponibilidad para viajar

De 25 a 35 Años

//Casado con 3 hijos

Alto de ojo de color

Carro propio

Responsable

Trabajo parcial 1

Portada

Índice

Resumen

Descripción general de la empresa

Misión y Visión del Departamento de cómputo

Instrumento de diagnostico con rubricas

Controles

Propuesta de implementación de controles

Anexos

Fecha entrega: Miercoles 14 de Septiembre

Correo electrónico: jlllamasc@gmail.com <- 3 eles!!!

Evaluación de la función informática

Diferencia entre evaluar y

calificar Responda en forma grupal las siguientes preguntas:

¿Qué es evaluar? Proceso de probar las capacidades de alguna entidad.

Ver como una persona se desempeña en su area de trabajo

Ver o enunciar el estado de algo

Darle un valor a algo

Poner a prueba las características de un producto o servicio

Es una revisión general de los aspectos a tomar en cuenta

¿Qué es calificar? El resultado del proceso de evaluación

Darle un puntaje del 5 al 10 de como desempeña su trabajo

Definirlo con cierto estándar establecido

Darle una puntuación a algo

Asignarle un valor a un p o s

Darle un valor a cada uno de los aspecto que se revisaron dentro de un rango

Diferencia entre Evaluación y

Calificación

La evaluación es un proceso de revisión

mientras que calificar es solo asignar un

valor determinado

<3

*

Tipos de Evaluación

Diagnostica

Formativa

Sumativa

Evaluación de la función

informática

Después de haber definido los objetivos

de la sistematización y de haber

diseñado el sistema que albergará y

administrará la información, es

necesario llenar con los datos

pertinentes dicha estructura

informática..

Recopilación de la información

a través de levantamientos de campo.

Esta manera de recopilar información reúne todas aquellas técnicas usadas para obtener información que no existe: Diseños muestrales. Cuando es necesario obtener

información representativa de universos grandes, es importante recopilar la información a partir de muestras bien escogidas que no arrastren sesgos en la información recopilada.

Diseño de instrumentos. Cuando la información va a ser recopilada a manera de encuestas, es importante saber diseñar cuestionarios que arrojen información confiable.

Uso de bases de datos o archivos de información preexistentes. Esta manera de recopilación de información es usada cuando ya existe información que permita llenar el sistema.

Resultados de la evaluación

Es necesario estructurar los instrumentos de manera que contengan valores cuantificables para poder hacer un concentrado de la evaluación y presentar algún informe.

Además una cuantificación permitirá comparar auditorias realizadas en diferentes tiempos

Proceso muy importante para la mejora continua

Evaluación de la estructura

orgánizacional

Estructura organizacional Es la forma en que se dividen y coordinan las

actividades de una organización

Importancia del organigrama La importancia como instrumento de análisis es

que permite detectar las fallas estructurales, ya que representa gráficamente las unidades y relaciones y estas se pueden observar en cualquier unidad o relación que corresponda con el tipo de actividad, función o autoridad que desempeña la unidad entre sí y detecta falla de control de la Departamentalización

El uso de organigramas

Puede apreciarse a simple vista la estructura general y las relaciones de trabajo en la compañía.

Muestra quién depende de quién.

Indica alguna de las peculiaridades importantes de la estructura de una compañía, sus puntos fuertes y débiles.

Sirve como historia de los cambios, instrumentos de enseñanza y medio de información al público acerca de las relaciones de trabajo de la compañía.

Son apropiados para lograr que los principios de la organización operen.

Indica a los administradores y al personal nuevo la forma como se integran a la organización

Funciones principales de la

informática

Entre las funciones principales de la informática se cuentan las siguientes:Creación de nuevas especificaciones de trabajo.Desarrollo e implementación de sistemas informáticos.Sistematización de procesos.Optimización de los métodos y sistemas informáticos existentes.Objetivos.

Objetivos de la Auditoria

informática

El control de la función informática

El análisis de la eficiencia de los

Sistemas Informáticos

La verificación del cumplimiento de la

Normativa en este ámbito

La revisión de la eficaz gestión de los

recursos informáticos.

Actividad de aprendizaje

En base en los objetivos de la función

informática y la auditoría informática se

le ha solicitado establecer el

organigrama de funciones del

departamento de sistemas de una

empresa

Elaborar el trabajo en equipo y

publicarlo en el foro

Como evaluar la organización del

personal

¿Cuál seria mi instrumento de

evaluación, cuales serian las rubricas?

Valoración de sistemas

El plan estratégico deberá establecer

los servicios que se presentarán en un

futuro contestando preguntas como las

siguientes:

¿Cuáles servicios se implementarán?

¿Cuándo se pondrán a disposición de los

usuarios?

¿Qué características tendrán?

¿Cuántos recursos se requerirán?

Valoración de sistemas

La estrategia de desarrollo deberá establecer las nuevas aplicaciones, recursos y la arquitectura en que estarán fundamentados: ¿Qué aplicaciones serán desarrolladas y cuando?

¿Qué tipo de archivos se utilizarán y cuando?

¿Qué bases de datos serán utilizarán y cuando?

¿Qué lenguajes se utilizarán y en que software?

¿Qué tecnología será utilizada y cuando se implementará?

¿Cuantos recursos se requerirán aproximadamente?

¿Cuál es aproximadamente el monto de la inversiónen hardware y software?

Valoración de sistemas

En lo referente a la consulta a los usuarios, el plan estratégico debe definir los requerimientos de información de la dependencia.

¿Qué estudios van a ser realizados al respecto?

¿Qué metodología se utilizará para dichos estudios?

¿Quién administrará y realizará dichos estudios?

Valoración de sistemas

Para investigar el costo de un sistema se debe considerar, con una exactitud razonable, el costo de los programas, el uso de los equipos (compilaciones, programas, pruebas, paralelos), tiempo, personal y operación, cosa que en la práctica son costos directos, indirectos y de operación.

Los beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en los costosde operación, la reducción del tiempo de proceso de un sistema. Mayor exactitud, mejor servicio, una mejoría en los procedimientos de control, mayor confiabilidad y seguridad.

Actividad de aprendizaje

Se le solicita la valoración de la

implementación de un sistema de

control escolar para una escuela.

El proceso de planeación de sistemas deberá asegurarse de que todos los recursos requeridos estén claramente identificados en el plan de desarrollo de aplicaciones y datos. Estos recursos (hardware, software y comunicaciones) deberán ser compatibles con la arquitectura y la tecnología, conque se cuenta actualmente.

Los sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente siguen: requerimientos del usuario, estudio de factibilidad, diseño general, análisis, diseño lógico, desarrollo físico, pruebas, implementación, evaluación, modificaciones, instalación, mejoras. Y se vuelve nuevamente al ciclo inicial, el cual a su vez debe comenzar con el de factibilidad.

Para investigar el costo de un sistema se debe considerar, con una exactitud razonable, el costo de los programas, el uso de los equipos (compilaciones, programas, pruebas, paralelos), tiempo, personal y operación, cosa que en la práctica son costos directos, indirectos y de operación.

Los beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en los costosde operación, la reducción del tiempo de proceso de un sistema. Mayor exactitud, mejor servicio, una mejoría en los procedimientos de control, mayor confiabilidad y seguridad.

La auditoría en sistemas debe evaluar los documentos y registros usados en la elaboración del sistema, así como todas las salidas y reportes, la descripción de las actividades de flujo de la información y de procedimientos, los archivos almacenados, su uso y su relación con otros archivos y sistemas, su frecuencia de acceso, su conservación, su seguridad y control, la documentación propuesta, las entradas y salidas del sistema y los documentos fuentes a usarse.

Con la información obtenida podemos contestar a las siguientes preguntas: ¿Se está ejecutando en forma correcta y

eficiente el proceso de información?

¿Puede ser simplificado para mejorar su aprovechamiento?

¿Se debe tener una mayor interacción con otros sistemas?

¿Se tiene propuesto un adecuado control y seguridad sobre el sistema?

¿Está en el análisis la documentación

Evaluación del Diseño lógico del

Sistema En esta etapa se deberán analizar las

especificaciones del sistema.

¿Qué deberá hacer?, ¿Cómo lo deberá hacer?, ¿Secuencia y ocurrencia de los datos, el proceso y salida de reportes?

Una vez que hemos analizado estas partes, se deberá estudiar la participación que tuvo el usuario en la identificación del nuevo sistema, la participación de auditoría interna en el diseño de los controles y la determinación de los procedimientos de operación y decisión.

Puntos a evaluar

Entradas.

Salidas.

Procesos.

Especificaciones de datos.

Especificaciones de proceso.

Métodos de acceso.

Operaciones.

Manipulación de datos (antes y después del proceso electrónico de datos).

Puntos a evaluar

Proceso lógico necesario para producir informes.

Identificación de archivos, tamaño de los campos y registros.

Proceso en línea o lote y su justificación.

Frecuencia y volúmenes de operación.

Sistemas de seguridad.

Sistemas de control.

Responsables.

Número de usuarios.

Evaluación del desarrollo del

Sistema

El proceso de planeación de sistemas debe definir la red óptima de comunicaciones, los tipos de mensajes requeridos, el tráfico esperado en las líneas de comunicación y otros factores que afectan el diseño. Es importante considerar las variables que afectan a un sistema: ubicación en los niveles de la organización, el tamaño y los recursos que utiliza

Puntos a Evaluar

Oportunos (que esté la información en el momento que se requiere).

Funcionales (que proporcionen la información adecuada a cada nivel).

Estándar (que la información tenga la misma interpretación en los distintos niveles).

Modulares (facilidad para ser expandidos o reducidos).

Jerárquicos (por niveles funcionales).

Seguros (que sólo las personas autorizadas tengan acceso).

Únicos (que no duplique información).

Puntos a Evaluar

Dinámicos (susceptibles de modificarse).

Estructurados (las interacciones de sus componentes o subsistemas deben actuar como un todo)

Integrados (un solo objetivo). En él habrá sistemas que puedan ser interrelacionados y no programas aislados.

Accesibles (que estén disponibles).

Necesarios (que se pruebe su utilización).

Comprensibles (que contengan todos los atributos).

Actividad de Aprendizaje

Evaluación de Sistemas

¿Cómo evaluarías el sistema de

transporte de una ciudad?

¿Cuáles son los puntos a evaluar?

¿Cómo evaluarías cada uno de los

puntos?

Presenta una propuesta en clase

Entrevista con el usuario

La entrevista se deberá llevar a cabo para comprobar datos proporcionados y la situación de la dependencia en el departamento de Sistemas de Información .

Su objeto es conocer la opinión que tienen los usuarios sobre los servicios proporcionados, así como la difusión de las aplicaciones de la computadora y de los sistemas en operación.

Las entrevistas se deberán hacer, en caso de ser posible, a todos los usuarios o bien en forma aleatoria a algunos de los usuarios, tanto de los más importantes como de los de menor importancia, en cuanto al uso del equipo.

Para verificar si los servicios que se proporcionan a los usuarios son los requeridos y se están proporcionando en forma adecuada, cuando menos será preciso considerar la siguiente información. Descripción de los servicios prestados.

Criterios de evaluación que utilizan los usuarios para evaluar el nivel del servicio prestado.

Reporte periódico del uso y concepto del usuario sobre el servicio.

Registro de los requerimientos planteados por el usuario.

Entrevista

Audit - Entrevita usuario.docx

Controles

Los datos son uno de los recursos más

valiosos de las organizaciones y,

aunque son intangibles, necesitan ser

controlados y auditados con el mismo

cuidado que los demás inventarios de la

organización, por lo cual se debe tener

presente:

a) La responsabilidad de los datos es compartida conjuntamente por alguna función determinada y el departamento de cómputo.

b) Un problema de dependencia que se debe considerar es el que se origina por la duplicidad de los datos y consiste en poder determinar los propietarios o usuarios posibles.

c) Los datos deberán tener una clasificación estándar y un mecanismo de identificación que permita detectar duplicidad y redundancia.

d) Se deben relacionar los elementos de los datos con las bases de datos donde están almacenados, así como los reportes y grupos de procesos donde son generados.

Control de la Fuente y Datos

La mayoría de los Delitos por

computadora son cometidos por

modificaciones de datos fuente al:

Suprimir u omitir datos.

Adicionar Datos.

Alterar datos.

Duplicar procesos.

Actividad de aprendizaje

Defina controles para evitar:

Suprimir u omitir datos.

Adicionar Datos.

Alterar datos.

Duplicar procesos.

El Informe de Auditoría es la

comunicación de auditor informático al

cliente, de manera formal, tanto del

alcance de la auditoría; (objetivos,

período de cobertura, naturaleza, y

extensión del trabajo realizado) como de

resultados y conclusiones.

Previo a la redacción del informe, el auditor distingue lo significativo de lo que no lo es evaluándolos de manera adecuada de acuerdo a su importancia y a la vinculación con el factor riesgo.

Aunque no existe un formato oficial, si existen esquemas recomendados con los requisitos mínimos aconsejables respecto a la estructura y contenido.

En cuanto a la redacción el informe deberá ser claro, adecuado, suficiente y comprensible.

Presentación de conclusiones

Una breve descripción de la situación actual en la cual se reflejan los puntos más importantes.

una descripción detallada que comprende: Los problemas detectados.

Posibles causas, problemas y fallas que originaron la situación presentada.

Repercusiones que pueden tener los problemas detectados.

Alternativas de solución.

Comentario y observaciones de la Dirección de Informática y de los usuarios sobre las soluciones propuestas.

Si se opta por una alternativa de solución, cuáles son sus repercusiones, ventajas y desventajas, y tiempo estimado para efectuar el cambio.

Debe hacerse hincapié en cómo se

corregirá el problema o se mejorará una

determinada situación, se obtendrán los

beneficios, en cuanto tiempo y cuales son

los puntos débiles.

Se debe romper la resistencia a la lectura

que tienen algunos ejecutivos por medio

de conclusiones concretas (tratar de que

se entiendan los términos técnicos, de ser

posible utilizar técnicas audiovisuales)

Informe de auditoria

Identificación del informe: un nombre que lo identifique de otros informes.

Identificación del cliente: destinatarios y personas que solicitan la auditoría. Ejemplo: DHC Marcelo Martínez. Profesor titular efectivo UNLaR

Identificación de la entidad auditada: organización/entidad/área objeto de la auditoria informática. Ejemplo: Aplicación School. Cátedra de Auditoria de sistemas. UNLaR – ciclo 2008

Objetivos de la auditoria informática: identificar el propósito de la auditoria. Ejemplo: Inspección del diccionario de datos de la aplicación School.

Alcance de la auditoria: Naturaleza y extensión del trabajo, a saber: Área de la organización: Ejemplo: Catedra de AS

Periodo de la auditoria: Ejemplo: 01/10/08 al 8/10/08

Sistemas/áreas a auditar: Ejemplo: Aplicación School -DD

Herramientas utilizadas: Ejemplo: Aplicación School –Data Modeler

Limitaciones al alcance: Ejemplo: No se audita el contenido de las tablas, sino su diseño y estructura en cuanto a la normalización de datos según el modelo de Boyce Codd.

Restricciones del objeto auditado: Ejemplo: No existen. Se provee todo el sistema en su versión de fuentes, ejecutables, ayudas y accesorios.-