Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Planeación de auditoria en sistemas computacionales.

No description
by

ana tepetla

on 7 August 2016

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Planeación de auditoria en sistemas computacionales.

Objetivo general
Es el fin global que se pretende alcanzar con el desarrollo de la auditoría de sistemas, en el cual se plantean todos los aspectos que se pretenden evaluar. La determinación de este objetivo dará el fundamento en la realización de la auditoría y la idea total de lo que se va a cubrir con dicha auditoría.
Objetivos específicos
Es la determinación, en forma detallada, de los fines que se pretenden alcanzar con la auditoría de sistemas, señalando concretamente las áreas a evaluar y, específicamente, los sistemas, componentes o elementos concretos que deben ser evaluados.

Objetivos particulares.
Son los fines individuales que se pretenden alcanzar con el desarrollo de la auditoría, ya sea de un área específica, de un sistema en especial o de alguna función en particular.

P.3 Establecer los objetivos de la auditoría.
P.1 Identificar el origen de la Auditoría.
El primer paso para realizar una auditoría en sistemas computacionales es definir las actividades necesarias para su ejecución.

¿Por qué se realizará la auditoría?
¿Se debe hacer una visita preliminar al área de sistemas?
¿Cuál es el objetivo que se pretende alcanzar con esta auditoría?
Por orden de las gerencias o departamentos a nivel superior.
A solicitud de funcionarios y empleados de otros niveles.
Por solicitud expresa de procedencia externa.
A petición de accionistas, socios y dueños.
Por orden de la Dirección General.
Planeación de la Auditoría de Sistemas Computaciones.
1ª Etapa: Planeación de la auditoría de sistemas computacionales.
1ª etapa: Planeación de la auditoría de sistemas computacionales
Auditoría Informática.
Auditoría Informática comprende la revisión y la evaluación independiente y objetiva, por parte de personas independientes y teóricamente competentes del entorno informático de una entidad.
La auditoría informática es el proceso de recolección y evaluación de evidencia para determinar si un sistema es automatizado.
Presentado por:

Gicel Antonia Aguilar Barradas

Ana Karina Tepetla Mon

María Del Carmen González Sosteno

Según Juan Ramón González Auditoría significa verificar que la información financiera, administrativa y operacional de una entidad es confiada, veraz y oportuna.
Concepto de Auditoría
2ª Etapa: Ejecución de la auditoría de sistemas computacionales.
3ª Etapa: Dictamen de la auditoría de sistemas computacionales.
P.1 Identificar el origen de la auditoría.
P.2 Realizar una visita preliminar al área que será evaluada.
P.3 Establecer los objetivos de la auditoría.
P.4 Determinar los puntos que serán evaluados en la auditoría.
P.5 Elaborar planes, programas y presupuestos para realizar la auditoría.
P.6 Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría.
P.7 Asignar los recursos y sistemas computacionales para la auditoría.

Por solicitud expresa de procedencia interna.
Por mandato de autoridades judiciales.
Por ordenamiento de las autoridades fiscales.
Por revisiones de autoridades de seguridad social y del trabajo.
Son casos que afectan a los trabajadores y patrones o por la sospecha de algún delito o irregularidad que repercuta en la seguridad social y la del trabajo.
Por revisiones de otras autoridades.
Son por autoridades federales, estatales o municipales.
Por solicitud de distribuidores y desarrolladores de software y hardware.
Esta se deriva por sospecha de delitos informáticos relacionados con la piratería de software.
Como consecuencia de emergencias y condiciones especiales.
De incidencia interna.
De incidencia externa.
El auditor debe de identificar la problemática a la que se enfrenta el área de sistemas, su personal y usuarios, su procesamiento de información y la administración de sus bases de datos, etcétera, aunque ésta sea sólo de carácter preliminar.
Prever los objetivos iniciales de la auditoría.
Se puede anticipar cuáles objetivos se pueden satisfacer con la auditoría, o por lo menos tratar de entender cuáles son las metas que se quieren alcanzar con la evaluación.

Calcular los recursos y personas necesarias para la auditoría.
La cantidad de recursos que serán necesarios para llevar a cabo la evaluación, contemplando los recursos de carácter humano, informático, material, técnico y económico.

P.4 Determinar los puntos que serán evaluados en la auditoría.
Evaluación de las funciones y actividades del personal del área de sistemas.
Evaluación de las áreas y unidades administrativas del centro de cómputo.
Evaluación de la seguridad de los sistemas de información.
Evaluación de la información, documentación y registros de los sistemas.
Evaluación de los sistemas, equipos, instalaciones y componentes.
Elegir los tipos de auditoría que serán utilizados.
Determinar los recursos que serán utilizados en la auditoría.

Evaluación de las funciones y actividades del personal del área de sistemas.
Cumplimiento de las funciones y actividades establecidas para cada uno los puestos que integran el centro de cómputo.

Evaluación de las áreas y unidades administrativas del centro de cómputo.
Se busca evaluar, mediante técnicas y procedimientos de auditoría, todos aquellos aspectos que pueden influir en el grado de cumplimiento de las funciones, actividades y operación de las áreas y unidades de trabajo del centro de cómputo de carácter individual se debe sujetar al estilo de administración del centro de cómputo, así como a las características, tipo y tamaño de los equipos computacionales, a la distribución de los sistemas y la forma de operación del citado centro de cómputo.

Evaluación de la seguridad de los sistemas de información.
Evaluación de la seguridad de los sistemas de información.
Evaluación de la seguridad física de los sistemas.
Evaluación de la seguridad lógica del sistema.
Evaluación de la seguridad del personal del área de sistemas.
Evaluación de la seguridad de la información y las bases de datos.
Evaluación de la seguridad en el acceso y uso del software.
Evaluación de la seguridad en la operación del hardware.
Evaluación de la seguridad en las telecomunicaciones.
Evaluación de la información, documentación y registros de los sistemas.
Evaluación de los sistemas, equipos, instalaciones y componentes.
Evaluación de los recursos humanos del área de sistemas.
Evaluación del hardware.
Evaluación del software.
Evaluación de la información y las bases de datos.
Evaluación de otros recursos informáticos.
Evaluación de equipos, instalaciones y demás componentes.
Elegir los tipos de auditoría que serán utilizados.
Se determina los tipos de auditoría, las herramientas e instrumentos y los métodos de evaluación que utilizará para dictaminar acerca del funcionamiento del área de sistemas, de acuerdo con sus necesidades específicas de revisión y con las características y requerimientos especiales que se pueden auditar en sistemas.

Determinar los recursos que serán utilizados en la auditoría.
Personal para la auditoría de sistemas.
Personal del área que será evaluada.
Apoyo de los sistemas y equipos técnicos e informáticos.
Apoyos materiales y administrativos.

P.5 Elaborar planes, programas y presupuestos para realizar la auditoría.
Es la elaboración específica y escrupulosa de los planes formales de trabajo para la auditoría de sistemas computacionales. Estos planes se presentan en un documento oficial llamado plan de auditoría de sistemas, el cual contiene todos los aspectos relacionados con la realización de dicha auditoría.

Las actividades que se van a realizar, los responsables de realizarlas, los recursos materiales y los tiempos.
Los eventos que servirán de guía de acción.
La estimación de los recursos humanos, materiales e informáticos que serán utilizados.
Los tiempos estimados para las actividades y para la propia auditoría.
Los auditores responsables y participantes en dichas actividades.
Las demás especificaciones del programa de trabajo para la auditoría.
Carátula de identificación del plan de auditoría
Carátula.
Índice de contenido.
Definición de objetivos.
Planes de auditoría.
Definición de normas, políticas y lineamientos para el desarrollo de la auditoría.
Establecer las estrategias para realizar la auditoría.
Diseñar las etapas, eventos y tareas en que se dividirá la auditoría.
Calcular la duración de las tareas y eventos para satisfacer los objetivos de la auditoría.
Distribuir los recursos que serán utilizados en las diferentes etapas, actividades y tareas de la auditoría.
En esta etapa llevaremos todo lo anterior mencionado en un escrito formal el cual presentaremos en nuestra auditoría. Y tiene los siguientes aspectos:
Elaborar el documento formal de los programas de auditoría.
P.6 Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría
P.6.1 Establecer la guía de ponderación de los puntos que serán evaluados
P.6.1.1 Definir las áreas y puntos de sistemas que serán auditados
P.6.1.2 Definir el peso de la ponderación por las áreas y puntos
que serán evaluados

P.6.1 Establecer la guía de ponderación de los puntos que serán evaluados
Uno de los aspectos mas importantes que se deben considerar para realizar una auditoría es la técnica de ponderación. es un método especial que ayuda a definir la forma de valorar cada una de las partes importantes del área de sistemas, con el fin de aplicar los mismos criterios de evaluación en todos los aspectos que serán evaluados.
P.6.1.1 Definir las áreas y puntos de sistemas que serán auditados.
El primer paso es definir las áreas, los aspectos de sistemas o los puntos de interés que se van a evaluar, dándole un peso específico a cada factor; el auditor establece ese peso a su libre albedrío, y de acuerdo a su experiencia, habilidad y conocimientos sobre el tema.
P.6.1.2 Definir el peso de la ponderación por las áreas y puntos que serán evaluados
La suma total de estas actividades invariablemente será 100%. El ejemplo del siguiente cuadro es una aplicación de un peso específico determinado para una gestión informática.
P.6.1.3 Realizar el documento de ponderación de la auditoría.
El siguiente paso es elaborar el documento de ponderación de manera formal, sometiéndolo a la opinión y consenso de los demás participantes en la auditoría, a fin de que entre todos elijan criterios más o menos homogéneos de ponderación; esto tiene el propósito de buscar que todos los tópicos que serán evaluados sean aplicables de manera similar.
P.6.2 Elaborar la guía de la auditoría.
Es un documento de carácter formal, en el cual se anotan todos los puntos que deberán ser evaluados, ya sean del centro de computo, el sistema de evaluación, de la gestión informática o de cualquiera de los aspectos del área de sistemas.
P.6.3 Elaborar los documentos necesarios para la auditoría
Elaborar los documentos formales que servirán para recopilar la información útil para hacer la valoración de los aspectos que serán auditados en el área de sistemas.
El propósito es contar con las herramientas, procedimientos e instrumentos que permitan obtener información útil para la auditoría a los sistemas computacionales de la empresa, lo cual se logra por medio de los siguientes puntos:
Diseñar los instrumentos y herramientas de recopilación
de información para la auditoría
Diseñar los cuestionarios
Diseñar las guías para realizar entrevistas
Diseñar los instrumentos y herramientas de recopilación de información para la auditoría
El responsable de la auditoría en la etapa de planeación debe definir lo más claramente posible los instrumentos de recopilación de información que se requiere en la auditoría, de acuerdo con las características y necesidades de evaluación de sistemas que realizará, razón por la cual debe adoptar, diseñar y aplicar los instrumentos de recopilación.
Diseñar los cuestionarios
El encargado de la auditoría será el responsable de elaborar y autorizar los cuestionarios que se necesitan para el levantamiento de información útil para la evaluación del aspecto de sistemas que se trate; de acuerdo con las necesidades, características y requerimientos específicos que fueron señalados en la guía de auditoría.
Determinar herramientas, métodos y procedimientos para la auditoría de sistemas
Una vez que ya fueron definidos los puntos señalados en las fases anteriores y que ya se cuenta con los documentos necesarios para aplicarse a las necesidades de auditoría establecidos en la ponderación de auditoría de sistemas y la guía de auditoría de sistemas, el siguiente paso es determinar las herramientas, métodos y procedimientos que se utilizarán para llevar a cabo la evaluación en el ambiente de sistemas que se auditará.
P.6.5 Diseñar los sistemas, programas y métodos de pruebas para la auditoría
P.7 Asignar los recursos y sistemas computacionales para la auditoría
Asignar los recursos que serán utilizados para realizar la auditoría, de acuerdo con los aspectos ya establecidos con anterioridad. Con la asignación de estos recursos especializados, sean humanos, informáticos, tecnológicos o cualesquiera otros que se hayan establecido para la auditoría, es como se lleva a cabo la misma.
P.7.1 Asignar los recursos humanos para la realización de la auditoría
Los responsables de realizar la auditoría son los recursos humanos especializados en informática y auditoría, ya que con ellos se llevan a cabo todas las actividades programadas para la revisión de los sistemas, la elaboración de pruebas, operación de los sistemas, la evaluación al funcionamiento de los sistemas, sus bases de datos, el uso correcto y adecuado de la información, y en sí de todos los aspectos informáticos que serán evaluados.
Asignar los recursos materiales y de consumo para la realización de la auditoría
También se tienen que asignar los materiales y consumibles que serán utilizados durante la auditoría, a fin de que el auditor cuente con todos los elementos necesarios para su evaluación, que pueden ser desde disquetes, cintas, papelería, equipos de oficina, como de cualesquiera otros elementos no especializados que utilice durante su evaluación.
El objetivo de asignar estos recursos es que el auditor realice su evaluación sin contratiempos al contar con el material necesario para el buen desempeño del trabajo encomendado.

2ª etapa: Ejecución de la auditoría de sistemas Computacionales
Esta etapa es de realización especial, de acuerdo con la planeación de la auditoría, en este inciso sólo se indican sus puntos más importantes, en la inteligencia de que se aplicará verdaderamente de acuerdo a las características específicas de la auditoría que se trate.
Los principales puntos son los siguientes:
E.1 REALIZAR LAS ACCIONES PROGRAMADAS PARA LA AUDITORÍA
Cada auditor tiene que realizar las actividades que le corresponden conforme fueron diseñadas, en la cronología que le fue asignada a cada una, y de acuerdo con los tiempos y recursos que le corresponde utilizar.
INTEGRAR EL LEGAJO DE PAPELES DE TRABAJO DE LA AUDITORÍA.
El auditor tiene la obligación de conservar en el llamado legajo de papeles de la auditoría cada uno de los instrumentos aplicados en la evaluación, con el propósito de sustentar, llegado el caso, las observaciones reportadas.
E.2 Aplicar los instrumentos y herramientas para la auditoría
Aquí lo importante es que, conforme a la guía de auditoría, se tienen que utilizar, uno a uno, los instrumentos y herramientas elegidos para llevar a cabo la evaluación, ya sea mediante la recopilación y análisis de la información, la observación, las pruebas y simulaciones de los sistemas, o mediante cualquier otro instrumento de los que se diseñaron previamente para esta revisión.
E.3 Identificar y elaborar los documentos de desviaciones encontradas
Una vez que se realizaron las actividades diseñadas en el programa de trabajo de auditoría, que se utilizaron los instrumentos de recopilación de información y/o se utilizaron los instrumentos determinados para la auditoría, entonces se buscan las posibles desviaciones y se procede a elaborar los documentos de desviaciones, en los cuales se anotan las situaciones encontradas, las causas que las originaron y sus posibles soluciones, así como los responsables de solucionar dichas desviaciones y las posibles fechas para hacerlo.

E.4 Elaborar el dictamen preliminar y presentarlo a discusión.
Una vez que el auditor determinó las desviaciones encontradas durante la evaluación, debe elaborar un documento que contenga todas las desviaciones detectadas, o lo puede elaborar con cada una de las desviaciones por separado, de acuerdo a las necesidades de la empresa.
3ª Etapa: Dictamen de la Auditoría de Sistemas Computacionales.
Elaborar el dictamen preliminar y presentarlo a discusión.
El auditor determinó las desviaciones encontradas durante la evaluación debe elaborar un documento.
Es obligación del auditor comentarlas con las personas que están involucradas directamente en las desviaciones, a fin de encontrar de manera conjunta las causas que las originaron.
Asignar a los responsables de solucionarlas y, de ser posible, las fechas para hacerlo.
“CONOCER LAS CAUSAS DE TALES DESVIACIONES Y SUS POSIBLES SOLUCIONES"
Analizar la información y elaborar un informe de situaciones detectadas.
Emitir el dictamen, el cual es el resultado final de la auditoría de sistemas computacionales. Para ello es necesario atender a los siguientes puntos:
1) Análisis de los papeles de trabajo y la elaboración en borrador de las llamadas situaciones detectadas.
2) El auditor responsable de la auditoría es quien analiza las desviaciones que comentó con los auditados, para después elaborar el informe final de las desviaciones encontradas.
3) Una vez que ha detectado las desviaciones, es obligación ineludible del auditor comentarlas en forma directa y abierta con los responsables de la operación.
El auditor no debe, en ningún caso y bajo ningún concepto, presentar las desviaciones encontradas sin antes haberlas comentado con el auditado.
4) Después de que el auditor haya comentado ampliamente las desviaciones con los involucrados, deberá ratificar las observaciones y, de ser necesario, elaborar las correcciones que sean pertinentes.
5) Una vez que el auditor ha comentado y corregido el borrador inicial, debe proceder a elaborar un documento que contenga las situaciones relevantes que encontró durante la auditoría

• Elaborar el dictamen final.

• Presentar el informe de auditoría.

Elaborar el dictamen final
• El auditor debe terminar de elaborar el informe de auditoría de sistemas y complementarlo con el dictamen final (opinión del auditor), y después presentarlo a los directivos del área de sistemas auditada para que conozcan la situación actual de dicha área, antes de presentarlo al responsable de la empresa.
Se realizan cuando se presenta alguna emergencia o
incidencia de tipo interno en el área de sistemas.
Dicha contingencia interna puede ser causada por alguna negligencia, por sabotaje, piratería de información o por algún otro elemento accidental ocurrido dentro de la propia área que pueda influir en el procesamiento de la información.
De incidencia interna
Presentar el informe de auditoría:

• El informe de auditoría, también llamado dictamen, se reportan las situaciones encontradas durante la evaluación.
• El auditor también debe reportar las cosas buenas que encuentra y los aciertos en la operación.
• El informe es para el área directiva de la empresa, no debe exceder de dos a tres hojas. En este informe el auditor sólo debe señalar lo más relevante de la evaluación, incluyendo su opinión.


Características de la presentación del informe de auditoría:
El informe de auditoría se debe elaborar conservando los siguientes aspectos fundamentales de fondo y forma:

- Que el informe tenga familiaridad.
- Que el contenido del informe sea coloquial.
- Que el contenido del informe sea variado.
- Que se entregue y comente oportunamente.
- Que su lectura sea sencilla.
- Que su contenido esté fundamentado.
- Que su redacción sea clara.
- Que la información contenida sea contundente.
- Que esté redactado en un estilo impersonal.
- Que su contenido esté sintetizado.
- Que su contenido sea ameno y entendible.
- Que sea enfático en las situaciones reportadas.
El informe de auditoría debe contener, como mínimo, las siguientes secciones:

Oficio de presentación.
Introducción.
Dictamen de la auditoría.
Situaciones relevantes.
Situaciones detectadas.
Anexos.
Confirmaciones en papeles de trabajo.

BIBLIOGRAFÍA
- Capítulo 1 página 2 Auditoría fundamentos 4ta Edición Editorial Thomson.
- Capítulo 1 página 2 Auditoría de estados financieros práctica moderna integral 2da Edición Pearson.
- Revista Iberoamericana de Derecho Informático. XIV Tomos. España. 1.996.
- Libro Auditoría en sistemas computacionales Carlos Muñoz Razo, Catedrático-Investigador de la Universidad del Valle de México. PEARSON EDUCACIÓN, México, 2002.
Se presenta por contingencias, emergencias y/o incidencias de
carácter externo que afectan al área de informática, ya sean ocasionadas por alguna otra área de la empresa, por empresas ajenas o por algún otro agente externo que tenga o que no tenga contacto con la institución.
De incidencia externa
"Planeación de Auditoría en Sistemas Computacionales"
Identificación preliminar de la problemática del área de sistemas


























































































































Ejemplo de presupuesto de auditoría
Full transcript