REPUBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACIN UNIVERSITARIA ALDEA UNIVERSITARIA CIUDAD ANGOSTURA MISIN SUCRE

Auditoria de sistemas
Profesor: Domingo Mndez Alumno: Marcano Hermes C.I 13798088

Ciudad Bolvar Noviembre 2011

PLANEACIN DE LA AUDITORA EN INFORMTICA

Revisin Preliminar Revisin Detallada Examen y Evaluacin de la Informacin Pruebas de consentimiento Pruebas de Controles de los Usuarios Pruebas Sustantivas Evaluacin de los Sistemas de Acuerdo al Riesgo Requerimientos de una auditora Personal Participante

REVISIN PRELIMINAR

Es el primer paso en el desarrollo de la auditora, despus de la planeacin.

Objetivo:

Obtener informacin necesaria para que el auditor pueda tomar la decisin de cmo proceder en la auditora.

Al terminar la RP puede proceder a seguir uno de los tres caminos:

Diseo de la Auditora Realizar una revisin detallada de los CI Decidir no confiar en los CI

1)

2)

La Revisin Preliminar (RP) significa la recoleccin de evidencias por medio de entrevistas con el personal de la instalacin, la observacin de las actividades en la instalacin y la revisin de la documentacin preliminar. La RP realizada por un Auditor Interno difiere de la realizada por un auditor externo en:

El AI normalmente requiere de menos revisiones y trabajos. El AE se enfoca ms en las causas de las prdidas y en los controles necesarios para justificar sus decisiones. Si el auditor interno supone serias debilidades en los CI, en lugar de proceder directamente con las pruebas sustantivas deber continuar con la fase de revisin detallada.

REVISIN DETALLADA:

Objetivo: Obtener la informacin necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del rea de informtica.

Aqu el auditor decide: Pruebas de consentimiento o pruebas sustantivas?

En esta fase es importante para el auditor identificar las causas de las prdidas existentes dentro de la instalacin y los controles para reducir las prdidas y los efectos causados por esta.

Los mtodos de obtencin de informacin son los mismos usados en la investigacin preliminar y lo nico que difiere es su profundidad con la que se obtiene y evala. El auditor debe evaluar si los controles escogidos son ptimos: Si provocan un sobre control. Si se logra un satisfactorio nivel de control usando menos controles o controles menos costosos. Si el auditor considera que los CI no son satisfactorios, en lugar de proceder directamente a revisar, a probar controles alternos o realizar pruebas sustantivas y procedimientos, debe sealar recomendaciones para mejorar los controles de los sistemas.

EXAMEN Y EVALUACIN DE LA INFORMACIN:

Los auditores internos debern obtener, analizar, interpretar y documentar la informacin para apoyar los resultados de la auditora. El proceso de examen y evaluacin de la informacin es el siguiente: Se debe tener la informacin de todos los asuntos relacionados con los objetivos y alcances de la Auditora. La informacin deber ser suficiente, competente, relevante y til para que proporcione bases slidas en relacin con los hallazgos y recomendacin de la auditora.

1.

2.

3.

Los procedimientos de auditora debern ser elegidos con anterioridad, cuando esto sea posible, modificarse cuando las circunstancias lo requieran.

4.

El proceso de recabar, analizar, interpretar y documentar la informacin deber supervisarse para proporcionar una seguridad razonable de que la objetividad del auditor se mantuvo y que las metas de la auditora se cumplieron. Los documentos de trabajo de la auditora debern ser preparados por los auditores y revisados por la gerencia de auditora.

5.

EL DIRECTOR DE AUDITORA EN INFORMTICA DEBER

ESTABLECER UN PROGRAMA PARA SELECCIONAR Y DESARROLLAR LOS RECURSOS, EL CUAL DEBE CONTEMPLAR:

Descripciones de puestos por cada nivel de AI. Seleccin de individuos calificados y competentes. Entrenamiento y oportunidad de capacitacin profesional para todos y cada uno de los auditores. Evaluacin del trabajo de cada uno de los auditores por lo menos una vez al ao. Asesora a los auditores en lo referente a su trabajo y a su desarrollo profesional.

El director de auditora informtica deber establecer y mantener un programa de control de la calidad para evaluar las operaciones de su equipo de trabajo. Este programa deber incluir: Supervisin Revisiones Internas

Revisiones Externas

PRUEBAS DE CONSENTIMIENTO:

Objetivo: Determinar si los CI operan como fueron diseados para operar. El auditor debe determinar si los controles declarados en realidad existen y si en realidad trabajan confiablemente.

PRUEBAS DE CONTROLES DEL USUARIO:

En algunos casos el auditor puede decidir el no confiar en los controles internos dentro de las instalaciones informticas, porque el usuario ejerce controles que compensan cualquier debilidad dentro de los CI de informtica.

PRUEBAS SUSTANTIVAS:
Objetivo: Obtener evidencia suficiente que permita al auditor emitir su juicio en las conclusiones acerca de cuando pueden ocurrir prdidas materiales durante el procesamiento de la informacin.

EXISTEN OCHO PRUEBAS SUSTANTIVAS:

1.

2. 3.

4.

5. 6.

7. 8.

Pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad. Pruebas para asegura la calidad de los datos. Pruebas para identificar la inconsistencia de los datos. Pruebas para comparar con los datos o contadores fsicos. Confirmacin de datos con fuentes externas. Pruebas para confirmar la adecuada comunicacin. Pruebas para determinar la falta de seguridad. Pruebas para determinar problemas de legalidad.

LOS PASOS QUE INVOLUCRAN UNA AUDITORA EN INFORMTICA:

Realizar una investigacin preliminar del rea de informtica

Si el auditor determina confiar en los CI, se realiza una investigacin detallada.

El auditor prueba la confianza sobre aquellos controles que son crticos.

Se realizan pruebas sustantivas de los procedimientos.

El auditor debe dar una opinin.

EVALUACIN DE LOS SISTEMAS DE ACUERDO AL

RIESGO

Una de las formas de evaluar la importancia que puede tener para la organizacin un determinado sistema es considerar el riesgo que implica el que no sea adecuadamente utilizado, la prdida de informacin o bien que sea usado por personal ajeno a la organizacin.

ALGUNOS SISTEMAS DE APLICACIONES SON DE MS ALTO RIESGO QUE OTROS DEBIDO A QUE:

Son susceptibles a diferentes tipos de prdida econmica. Las fallas pueden impactar grandemente a la organizacin. Los sistemas le dan a la empresa un nivel competitivo muy alto dentro de un mercado. Sistemas de tecnologa de punta. Sistemas que son muy costosos de desarrollar, los cuales son frecuentemente sistemas complejos que pueden presentar muchos problemas de control.

REQUERIMIENTOS DE UNA AUDITORA:

A nivel organizacional: Objetivos a corto y largo plazo. Misin, Visin y Valores. Antecedentes de la empresa Organigrama Funcin de cada uno de los departamentos. Relaciones entre las diversas reas del negocio Polticas Generales.

A NIVEL DEL REA DE INFORMTICA: Objetivos a corto y largo plazos. Manual de Funciones (Fichas ocupacionales). Manual de polticas, reglamentos internos y lineamientos generales. Nmero de personas y puestos en el rea. Procedimientos administrativos del rea. Presupuestos y costos del rea.

RECURSOS MATERIALES Y TCNICOS:

Solicitar documentos sobre los equipos, as como el nmero de ellos, su localizacin y sus caractersticas (de los equipos instalados, por instalar y programados). Estudio de viabilidad. Fechas de instalacin de los equipos y planes de instalacin. Contratos vigentes de compra, renta y servicio de mantenimiento. Contratos de seguros. Convenios que se tienen con otras instalaciones. Configuracin de los equipos y capacidades actuales y mximas.

RECURSOS MATERIALES Y TCNICOS:

Configuracin de equipos de comunicacin(redes internas y externas) y localizacin de los equipos. Planes de expansin. Ubicacin general de los equipos. Polticas de operacin. Polticas del uso de los equipos. Polticas de seguridad fsica y prevencin contra contingencias internas y externas.

SISTEMAS:
Descripcin general de los sistemas instalados y de los que estn por instalarse. Manual de procedimientos de los sistemas. Descripcin genrica. Diagramas de entrada, archivos, salidas. Fecha de instalacin de los sistemas. Proyecto de instalacin de nuevos sistemas. Bases de datos, propietarios de la informacin y usuarios de la misma. Procedimientos y polticas en caso de desastre. Sistemas propios y/0 legalidad de los mismos.

ANTES DE CONCLUIR ESTA ETAPA NO SE OLVIDE DE:

Estudiar hechos y no opiniones. Enfocarse en las causas y no en los efectos. Atender razones, no excusas. No confiar en la memoria, preguntar constantemente. Criticar objetivamente a fondo todos los informes y los datos recabados.

PERSONAL PARTICIPANTE:

El nmero de ellos depende de las dimensiones de la organizacin, de los sistemas y de los equipos. El personal debe estar debidamente capacitado (conocimiento y experiencia) en reas especificas como bases de datos, hardware, software y comunicaciones, y con un alto sentido de moralidad.
Se debe contar con personas asignadas por los usuarios.

Gracias por su Atencin!