PLAN AUDITOR INFORMATICO

7/23/2019 PLAN AUDITOR INFORMATICO

http://slidepdf.com/reader/full/plan-auditor-informatico 1/11

Estimados ALUMNOS este es el contenido de la SEMANA 03 (14-09-2015) del curso.

Para la siguiente clase (semana 04 – 21-09-2015) elaborar una PRESENTACIÓN de

estos Temas como máximo en 6 diapositivas que expresen el contenido de TODO

EL TEMA.

(Para la Elaboración de las diapositivas se deberá de tomar en cuenta las ideasprincipales de cada uno de los temas y subtemas, así como el hecho de colocar

imágenes relativas al contenido)

Llevar impreso en UNA SOLA HOJA (a colores) la Presentación.

RAÚL HÉCTOR LÓPEZ SOLANO

Profesor del curso de Auditoría Informática.

====================================================================

AUDITORIA INFORMÁTICA - AULA 119

TERCERA SEMANA:

Planes del auditor informático. Funciones de control. Herramientas de control.

Planeamiento de la revisión. Controles de entrada, procesamiento y salida de datos. Controles de documentación. Controles sobre programas. Controles de copias de seguridad.

====================================================================

3.4 EL PLAN AUDITOR INFORMATICO

Es el esquema metodológico más importante del auditor informático. En estedocumento se debe describir todo sobre esta función y el trabajo que realiza en

la entidad. Debe estar en sintonía con el plan auditor del resto de los auditoresde la entidad.

Las Partes de un plan auditor informático deben ser al menos los siguientes.

Funciones. Ubicación de la figura en el organigrama de la empresa.Debe existir una clara segregación de funciones con la informática y decontrol interno informático y este debe ser auditado así mismo. Deben



describirse las funciones de forma precisa, y la organización interna deldepartamento, con todos los recursos.

Procedimientos para las distintas tareas de las auditorias. Entre ellosestán el procedimiento de apertura, el de entrega y discusión dedebilidades, entrega de informe preliminar, cierre de auditoria redacción

de informe final, etc. Tipos de auditorías que realiza. Metodologías y cuestionarios de las

mismas. Ejemplo: Revisión de la aplicación de facturación, revisión dela LOPD, revisión de seguridad física, revisión de control interno, etc.Existen tres tipos de auditorías según su alcance, la full o completa deuna área (ejemplo: control interno, informática), limitada a un aspecto(ejemplo: una aplicación, la seguridad lógica, el software de base, etc.),la Corrective Action Review (CAR) que es la comprobación de accionescorrectivas de auditorías anteriores.

Sistema de evaluación y los distintos aspectos que evalúa.

Independientemente de que exista un plan de acciones en el informefinal, debe hacerse el esfuerzo de definir varios aspectos a evaluarcómo nivel de gestión económica, gestión de recursos humanos,cumplimiento de normas, etc. Y realizar una evaluación global deresumen para toda la auditoria. Esta evaluación en nuestro país suelehacerse niveles que son “Bien, Regular, o Mal” Significado la visión de

grado de gravedad. Esta evaluación final nos servirá para definir lafecha de repetición de la misma auditoria en el futuro según el nivel deexposición que se le haya dado a este tipo de auditoria en cuestión.

Nivel de exposición. Como ejemplo podemos ver la figura 3.8 El Nivel de

exposición es en este casi un número de uno al diez definidosubjetivamente y que me permite en base a la evaluación final de laúltima auditoría realizada sobre ese tema definir la fecha de larepetición de la misma auditoria. Este número no conviene confundirlocon ninguno de los parámetros utilizados en el análisis de riesgos quenivel de exposición significa la suma de factores como impacto, peso elnivel de un área auditada porque está muy bien y no merece la penarevisarla tan a menudos. Lista de distribución de informes.

Seguimiento de las acciones correctoras. Plan quincenal. Todas las áreas a auditar deben corresponderse con

cuestionarios metodológicos y deben repartirse en cuatro o cinco añosde trabajo. Esta planificación además de la repeticiones y añadido de lasauditorias no programadas que se estimen oportunas deberáncomponer anualmente el pan de trabajo anual.

Plan de trabajo anual. deben estimarse tiempos de manera racional ycomponer un calendario que una vez terminado me dará un resultado dehoras de trabajo previstas y por tanto los recursos que se necesitaran.



Debemos hacer notar que es interesante tener una herramientaprogramada con metodología abierta que permita confeccionar loscuestionarios de las distintas auditorias y fácilmente cubrir los hitos yfases de los programas de trabajo una vez definida la metodologíacompleta. Esto se puede hacer sin dificultad con cualquier herramienta

potente que existe en la actualidad

3.5.4 Control Interno Informático. Sus métodos y procedimientos. LasHerramientas de control.

Hoy en día, la tendencia generalizada es contemplar, al lado de la figura delauditor informático, la de control interno informático. Tal es el caso de laorganización internacional I.S.A.C.A. (Information Systems Audit and Control

Association Æ Asociación para la auditoría y control de los sistemas deinformación), creadora de la norma COBIT (tema de estudio de este informe) yque, con anterioridad, se llamó The EDP Auditors Association INC. , incluyendoen la actualidad las funciones de control informático además de las de auditoría.

Pese a su similitud, podríamos decir que existen claras diferencias entre lasfunciones del control informático y las de la auditoría informática:

ƒ

El área informática monta los procesos informáticos seguros.

ƒEl control interno monta los controles.

ƒ

La auditoría informática evalúa el grado de control.

Las funciones básicas del control interno informático son las siguientes:

− Administración de la seguridad lógica.

− Funciones de control dual con otros departamentos.

− Función normativa y del cumplimiento del marco jurídico.

− Responsable del desarrollo y actualización del Plan de Contingencias, Manualesde procedimientos, etc.

− Dictar normas de seguridad informática.

− Definir los procedimientos de control.



− Control del Entorno de Desarrollo.

− Controles de soportes magnéticos según la clasificación de la información.

− Controles de soportes físicos.

− Control de información comprometida o sensible.− Control de calidad del software.

− Control de calidad del servicio informático.

− Control de costes.

− Responsable de los departamentos de recursos humanos y técnico.

− Control y manejo de claves de cifrado.

− Vigilancia del cumplimiento de las normas y controles.

− Control de cambios y versiones.

− Control de paso de aplicaciones a explotación.

− Control de medidas de seguridad física o corporativa en la informática.

− Responsable de datos personales.

Todas estas funciones son un poco ambiciosas para desarrollarlas desde elinstante inicial de la implantación de esta figura, pero no debemos perder elobjetivo de que el control informático es el componente de la “actuación segura”

entre los usuarios, la informática y el control interno, todos ellos auditados por la

auditoría informática.Para obtener el entramado de contramedidas o controles compuesto por losfactores que veíamos en la Figura 3, debemos ir abordando proyectos usandodistintas metodologías, tal como se observa en la Figura 6, que irán conformandoy mejorando el número de controles.



Las Herramientas de Control

En la última fase de la pirámide (Figura 3), nos encontramos las herramientas decontrol. En la tecnología de la seguridad informática que se ve envuelta en loscontroles, existe tecnología hardware (como los cifradores) y software. Lasherramientas de control son elementos software que por sus característicasfuncionales permiten vertebrar un control de una manera más actual y másautomatizada. Como se vió antes, el control se define en todo un proceso

metodológico, y en un punto del mismo se analiza si existe una herramienta queautomatice o mejore el control para más tarde definirlo con la herramienta incluida,y al final documentar los procedimientos de las distintas áreas involucradas paraque estas los cumplan y sean auditados. Es decir, comprar una herramienta sinmás y ver qué podemos hacer con ella es un error profesional grave que noconduce a nada, comparable a trabajar sin método e improvisando en cualquierdisciplina informática.



Las herramientas de control (software) más comunes son:

ƒ Seguridad lógica del sistema.

ƒ Seguridad lógica complementaria al sistema (desarrollado a medida).

ƒ Seguridad lógica para entornos distribuidos.ƒ Control de acceso físico. Control de presencia.

ƒ Control de copias.

ƒ Gestión de copias.

ƒ Gestión de soportes magnéticos.

ƒ Gestión y control de impresión y envío de listados por red.

ƒ Control de proyectos.

ƒ Control y gestión de incidencias.

ƒ Control de cambios.

Todas estas herramientas están inmersas en controles nacidos de unos objetivosde control y que regularán la actuación de las distintas áreas involucradas.

Son muchas, pués, las metodologías que se pueden encontrar en el mundo de laauditoría informática y control interno. Como resumen, se podría decir que lametodología es el fruto del nivel profesional de cada uno y de su visión de cómo

conseguir un mejor resultado en el nivel de control de cada entidad, aunque elnivel de control resultante debe ser similar.

Pero en realidad, todas ellas son herramientas de trabajo mejores o peores queayudan a conseguir mejores resultados, ya que las únicas herramientasverdaderas de la auditoría y el control informático son la “actitud y aptitud”, junto

con una postura vigilante y una formación continuada.

PLANEAMIENTO DE LA REVISIÓNPROGRAMA DE LA REVISION

1. Identificar el área a revisar (por ejemplo a partir del calendario derevisiones), notificar al responsable del área y prepararse utilizando papeles detrabajo de auditorías anteriores

2. Identificar las informaciones necesarias para a auditoria y para las pruebas.



3. Obtener informaciones generales sobre el sistema operacional. En estaetapa, se definen los objetivos y el alcance de la auditoria, y se identifican losusuarios específicos ue estarían afectados por la auditoria (plan de entrevistas); elauditor aprende en que consiste el entorno a revisar, y explica porque se hace laauditoria.

4. Obtener una compresión detallada de la aplicación/sistema. Aquí, se pasanentrevistas con los usuarios y el personal implicando en el sistema a revisar; seexamina la documentación de usuarios, de desarrollo, de operación, se identificanlos aspectos más importantes del sistema (entrada, tratamiento salida de datos), laperiodicidad de procesos, los programas fuentes, características y estructuras deficheros de dato, y pista de auditoria.

5. Identificar los puntos de control críticas en el sistema operacional. Utilizandoorganigramas de flujo de informaciones, identificar los puntos de control críticos enentrevistas con los usuarios y el personal operacional, y con el apoyo de la

documentación sobre el sistema. El auditor tiene que identificarlos peligros y losriesgos que podrían surgir en cada punto. Los puntos de control críticos sonaquellos puntos donde el riesgo es más grave, son necesarios controles en lospuntos de interface entre procedimientos manuales y automáticos.

6. Diseño y elaboración de los procedimientos de la auditoria.

7. La ejecución de pruebas e los puntos críticos de control.se podría incluir ladeterminación delas necesidades de herramientas informáticas d ayuda a laauditoria informática. Una revisión de cumplimiento de los procedimientos se hacepara verificarse buen seguimiento de estándares y procedimientos formales, del

proceso descrito por los organigramas de flujos. Así se verificar los controlesinternos del cumplimiento de a) planes, políticas, procedimientos, estándares, b) laética del trabajo de la organización, c) requerimientos legales, d) principiosgenerales de contabilidad y e) prácticas generales de informática.

Se hacen revisiones sustantivas y pruebas, como resultado de la revisión delcumplimiento de procedimientos. Si las conclusiones de la revisión decumplimentación eran generalmente de positivas, se podrían limitar las revisionessustantivas. Dentro d este punto del programa de la revisión podríamos analizar siexisten ls siguientes controles.

8. Evaluación de la revisión y/o resultados de prueba. En esta etapa seidentifican y se evalúan los puntos fuertes y débiles de los procedimientos yprácticas de control interno en relación con su adecuacin, eficiencia y efectividad.Cuando se identifique una debilidad, se determinara su causa.

Se elaboran las conclusiones asadas sobre la evidencia; lo que deberá sersuficiente, relevante, fiable, disponible, comprobable y útil.

9. Preparación del informe. Recomendaciones.



CONTROLES

• Revisar procedimientos escritos para iniciar, autorizar, recoger, preparar yaprobar y aprobar los datos de entrada, en la forma de un manual de usuario.Verificar que los usuarios entienden y siguen estos procedimientos.

• Que se de la formación del “uso del terminal” necesaria a ls usuarios.

• Revisar ls documentos fuente u otros documentos para determinar si sonnumerados. También revisar códigos de identificación de transacciones y otroscampos de uso frecuentes, para determinar si son codificados previamente paraminimizar errores en los procesos de preparación, entrada y conversión de datos.

• Cuando sea necesario, verificar que todos los datos de entrada en un

sistema pasan por validación y registro antes de su tratamiento.• Determinar si los usuarios preparan totales de control de los datos deentrada por terminales. Comprobar la existencia de una reconciliación de lostotales de entrada como totales de salidas.

• Comprobar existencia y seguimiento de calendarios de datos y distribuciónde informes (listados).

• Determinar si el archivo y retención de documentos fuentes y otrosformularios de entrada es lógica y accesible, y que cumple las normas yrequerimientos legales.

• Revisar los procedimientos de corrección de errores.

• Comprobar la existencia de periodos para documentos fuentes y soportesmagnéticos

CONTROLES DE SALIDA DE DATOS:

• Determinar si los usuarios Comparan totales de control de los datos de

entrada con totales control de datos de salida.

• Determinar si control de datos revisa los informes de salida(listados)

Para detectar errores evidentes tales como: campos de datos que faltan, valoresno razonables o formatos incorrectos.



• Verificar que se hace una identificación adecuada sobre los informes, porejemplo nombre y número de informe, fecha de salida, nombre deárea/departamento, página y totales y control si son necesarios.

• Comparar la lista de distribución de informes con los usuarios que losreciben en realidad. ¿Hay personas que reciben el informe que no deberíanrecibirlo?

• Verificar que los informes que pasan de aplicabilidad se destruyen, y que nopasan simplemente a la basura, sin seguridad de destrucción.

• Revisar la justificación de informes, que existen una petición escrita paracada uno y que se utilizan realmente y que está autorizada la petición.

• Verificar La Existencia de periodos de retención de informes y susuficiencia.

• Revisar los procedimientos de corrección de los datos de salida.

Controles de Documentación

• Verificar que dentro de las actividades de desarrollo mantenimiento deaplicaciones se producen documentación de sistemas, programas, operaciones yfunciones y procedimientos de usuario.

• Existencia de una persona especifica encargada de la documentación y quemantiene de un archivo de documentos ya distribuidos y a que personas.

• Comprobar que los jefes de área de informen de faltas de documentaciónadecuada para sus empleados.

• Destrucción de toda la documentación de antiguos sistemas

• Que no se aceptan nuevas aplicaciones por los usuarios sin unadocumentación completa.

• Actualización de la documentación al mismo tiempo que los cambios ymodificaciones en los sistemas.

• La existencia de documentación de sistemas, de programas de operación y

de usuario para cada aplicación ya implantada.

CONTROLES DE BACKUP T REARRANQUE



• Existencia de procedimientos de backup y rearranque documentados ycomprobados para cada aplicación en uso actualmente.

• Procedimientos escritos para la transferencia de materiales y documentosde backup entre el C.P.D principal y el sitio del backup (centro alternativo).Mantenimiento de un inventario de estos materiales.

• Existencia de un plan de contingencia.

• Identificación de aplicaciones del plan de contingencia y backup paradeterminar su adecuación y actualización.

• Pruebas de aplicaciones críticas en el entorno de backup, con losmateriales del plan de contingencia (soportes magnéticos, documentación,personal, etc)

• Determinación de cada aplicación que se revisa si es un sistema crítico ydebería incluirse en el plan de contingencia.

• Grabación de todas las transacciones ejecutadas por el teleproceso, cadadía; para facilitar la reconstrucción de ficheros actualizados durante el día en casode fallo del sistema.

• Existencia de procesos manuales para sistemas críticos en el uso del casofallo de contingencia.

• Actualización del plan de contingencia cuando es necesario; pruebasanuales.

Controles sobre programas de auditoria

• Distribución de políticas y procedimientos escritos a auditores y responsablede áreas sobre la adquision, desarrollo y uso de software de auditoria.

• Uso de software de auditoria únicamente por persona autorizadas.

• Participación del auditor en la adquisición, diseño, desarrollo e implantaciónde software de auditoria desarrollo internamente

• Formación apropiada para los auditores que manejan software de auditoria.

• Participación por el auditor en todas las modificaciones y adaptaciones delsoftware de auditoria, que sea de fuera o propio. Actualización de ladocumentación de software.

• Verificación de que los programas de utilidad se utilizan correctamente(cuando no se puede utilizar el software de auditoria).



• Revisión de tablas de contraseñas de personas que han causado baja.

Controles de las satisfacción de los usuarios

• Disponibilidad de políticas procedimientos sobre el acceso y uso de lainformación.

• Resultados fiables, completos, puntuales y exactos de lasaplicaciones(integridad de datos)

• Utilidad de la información de salida de la aplicación en la toma de decisiónpor los usuarios.

• Comprensión por los usuarios de los informes e informaciones de salida delas aplicaciones.

• Satisfacción de los usuarios con la información que produce la aplicación.

• Revisión de los controles de recepción, archivo, protección y acceso dedatos guardados sobre todo tipo de soporte.

• Participación activa de los usuarios en la elaboración de requerimiento deusuarios, especificaciones de diseño de programas y revisión de resultados depruebas.

• Controles por el usuario en la transferencia de informaciones porintercambio de documentos.

• Resolución fácil de problemas, errores, irregularidades y omisiones porbuenos contactos entre usuarios y las personas del C.P.D.

• Revisiones regulares de procesos que podrían mejorarse porautomatización de aspectos particulares o reforzamientos de procesos manuales.

PLAN AUDITOR INFORMATICO

Documents

Transcript of PLAN AUDITOR INFORMATICO