1. Elaboración y Plan de Trabajo
1.1. Número de Puestos de trabajo
1.1.1. El equipo auditor comprobará que los nombres de los Puesto de los Puestos de Trabajo de la organización corresponden a las funciones reales distintas. Es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo cual indica la existencia de funciones operativas redundantes. Esta situación pone de manifiesto deficiencias estructurales; los auditores darán a conocer tal circunstancia y expresarán el número de puestos de trabajo verdaderamente diferentes.
1.2. Número de personas por Puesto de Trabajo
1.2.1. Es un parámetro que los auditores informáticos deben considerar. La inadecuación del personal determina que el número de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organización.
1.3. Entorno Operacional
1.3.1. El equipo de Auditoria informática debe poseer una adecuada referencia del entorno en el que va a desenvolverse. Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos:
1.3.1.1. Situación geográfica de los Sistemas
1.3.1.1.1. Se determinará la ubicación geográfica de los distintos Centros de Proceso de Datos en la empresa. A continuación, se verificará la existencia de responsables en cada uno de ellos, así como el uso de los mismos estándares de trabajo.
1.3.1.2. Arquitectura y configuración de Hardware y Software
1.3.1.2.1. Cuando existen varios equipos, es fundamental la configuración elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado. La configuración de los sistemas está muy ligada a las políticas de seguridad lógica de las compañías. Los auditores, en su estudio inicial, deben tener en su poder la distribución e interconexión de los equipos.
1.3.1.3. Inventario de Hardware y Software
1.3.1.3.1. El auditor recabará información escrita, en donde figuren todos los elementos físicos y lógicos de la instalación. En cuanto a Hardware figurarán las CPUs, unidades de control local y remotas, periféricos de todo tipo, etc.
1.3.1.4. Comunicación y Redes de Comunicación
1.3.1.4.1. En el estudio inicial los auditores dispondrán del número, situación y características principales de las líneas, así como de los accesos a la red pública de comunicaciones. Igualmente, poseerán información de las Redes Locales de la Empresa.
1.3.1.5. Aplicaciones bases de datos y ficheros
1.3.1.5.1. El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos realizados en la empresa auditada. Para ello deberán conocer lo siguiente:
1.3.1.6. Documentación
1.3.1.6.1. La existencia de una adecuada documentación de las aplicaciones proporciona beneficios tangibles e inmediatos muy importantes.
1.3.1.7. Cantidad y complejidad de Bases de Datos y Ficheros
1.3.1.7.1. El auditor recabará información de tamaño y características de las Bases de Datos, clasificándolas en relación y jerarquías. Hallará un promedio de número de accesos a ellas por hora o días. Esta operación se repetirá con los ficheros, así como la frecuencia de actualizaciones de los mismos.
2. Determinación de los recursos
2.1. Los recursos materiales del auditor son de dos tipos:
2.1.1. Recursos materiales Software
2.1.1.1. Programas propios de la auditoria: Son muy potentes y Flexibles. Habitualmente se añaden a las ejecuciones de los procesos del cliente para verificarlos.
2.1.1.2. Recursos materiales Hardware
2.1.1.2.1. Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado. Para lo cual habrá de convenir, tiempo de máquina, espacio de disco, impresoras ocupadas, etc.
2.1.1.3. Recursos Humanos
2.1.1.3.1. La cantidad de recursos depende del volumen auditable. Las características y perfiles del personal seleccionado dependen de la materia auditable. Es igualmente reseñable que la Auditoria en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria.
2.1.2. Monitores
2.1.2.1. Se utilizan en función del grado de desarrollo observado en la actividad de Técnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.
3. Informe y presentación del Informe Final
3.1. 1. DEFINICIONES GENERALES PLAN DE AUDITORIA INFORME FINAL
3.2. 2. DEFINICIONES GENERALES
3.2.1. Es el medio formal para comunicar los objetivos ¿QUÉ ES EL de la auditoría, las normas utilizadas, alcance y INFORME DE resultados, conclusiones y recomendaciones de la auditoría. AUDITORIA? El reporte debe ser objetivo, claro, conciso, constructivo y oportuno.
3.3. 3. DEFINICIONES GENERALES Políticas
3.3.1. prácticas, procedimientos o CRITERIO DE requerimientos contra los que el auditor AUDITORIA compara la información recopilada •Información, registros o declaraciones de hecho verificables. EVIDENCIA DE •Puede ser cualitativa o cuantitativa.
3.4. 4. DEFINICIONES GENERALES
3.4.1. Evaluación de la evidencia comparada contra RESULTADOS los criterios de auditoria acordados. DE LA • Proveen la base para el reporte final de la auditoria. AUDITORIA •Grupo de auditores, o un auditor individual, EQUIPOAUDITOR Expertos Auditores Auditor líder técnicos auxiliares
3.5. 5. DEFINICIONES GENERALES AUDITADO
3.5.1. • Organización que se audita.
3.5.2. • Proceso sistemático, documentado y de verificación objetiva para: AUDITORIA
3.5.3. • Evaluar la evidencia
3.5.4. • Determinar cuáles actividades, eventos, DE CALIDAD condiciones, cumplen con los criterios de auditoria.
3.6. 6. DEFINICIONES GENERALES AUDITADO
3.6.1. • Organización que se audita.
3.6.2. • Proceso sistemático, documentado y de verificación objetiva para: AUDITORIA
3.6.3. • Evaluar la evidencia
3.6.3.1. • Determinar cuáles actividades, eventos, DE CALIDAD condiciones, cumplen con los criterios de auditoria.
3.7. 7. PLAN DE AUDITORIA
3.7.1. • Debe ser establecido y comunicado al cliente. El cliente debe revisar y aprobar dicho plan. Debe incluir:
3.7.1.1. a) Los objetivos y alcance.
3.7.1.2. b) El criterio a ser usado.
3.7.1.3. c) La identificación de las unidades organizacionales y funcionales a ser auditadas.
3.7.1.4. d) La identificación de las funciones y/o individuos dentro dela organización del auditado
3.7.1.5. e) Identificación de los aspectos de calidad que son de alta prioridad.
3.7.1.6. f) Identificación de los documentos de referencia.
3.8. 8. PLAN DE AUDITORIA
3.8.1. g) El tiempo y duración esperados para las entrevistas e inspecciones.
3.8.2. h) Las fechas y lugares donde se va a realizar la auditoria.
3.8.3. i) El Cronograma de reuniones que se van a tener con la gerencia del auditado.
3.8.4. j) Requerimientos confidenciales.
3.8.5. k) El contenido, formato y estructura del informe.
3.9. 9. PLAN DE AUDITORIA
3.10. 10. Auditoría Informática
3.11. 11.Nombre y Firma Nombre y Firma
3.12. 12. INFORME FINAL
3.12.1. Identificar con un Título nombre corto y referenciando al objetivo de la auditoria. Partes El auditor dirigirá su interesadas informe al ejecutivo u órgano de la entidad del que recibió el encargo de la auditoría.
3.13. 13. INFORME FINAL ESPECIFICAR
3.13.1. Especificar en forma muy puntual los procesos o áreas involucradas en la auditoria. Objetivo Basada en objetivos definidos por el cliente. Indicar con que propósito se realiza la auditoria Especificar la trascendencia de la auditoria y las áreas involucradas Alcance en la misma. El alcance describe la extensión y límites de la auditoría
4. Herramientas y técnicas para la aplicación de una Auditoria
4.1. Auditoria
4.1.1. requiere el ejercicio de un juicio profesional, sólido maduro, para juzgar los procedimientos que deben reguirse y estimar los resultados obtenidos.
4.1.2. Técnicas
4.1.2.1. métodos prácticos que usa un auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones.
4.1.3. Procedimientos
4.1.3.1. Conjunto de Técnicas de investigación aplicables.
4.1.3.2. Permite
4.1.3.2.1. 1.-Permite conocimientos del control internet.
4.1.3.2.2. 2.- Analizar las características de control interno.
4.1.3.2.3. 3.- Verificar los resultados de control interno.
4.1.3.2.4. 4.- Fundamentar conclusiones de la auditoria.
5. Donde se debe identificar de forma clara las razones por las que se va a realizar la auditoría, la determinación del objetivo de la misma, el diseño de métodos, técnicas y procedimientos necesarios para llevarla a cabo.
5.1. Metodología para el Desarrollo de una Auditoria Informática
5.2. Metodología
5.2.1. Identificar el origen de la Auditoria
5.2.1.1. En esta se debe determinar por qué surge la necesidad o inquietud de realizar una auditoria.
5.2.2. Visita Preliminar al Área Informática
5.2.2.1. Consiste en realizar una visita preliminar el áres de informática que será auditada.
5.2.3. Se debe tener en cuenta
5.2.3.1. Visita Inicial para el arranque de la Auditoria cuya finalidad es saber.
5.2.3.2. ¿Cómo se encuentran distribuídos los equipos en el área?.
5.2.3.3. ¿Cuántos, cuáles, cómo y de que tipo son los servidores y terminales que existen en el área?.
5.2.3.4. ¿ Qué tipo de instalaciones y conexiones físicas existen en el área?.
5.2.3.5. ¿ Qué características generales de los sistemas que serán auditados?
5.2.3.6. ¿ Cuál es la reacción del personal frente al auditor?
5.2.3.7. ¿Cuales son las medidas de seguridad física existentes en el área?
5.2.3.8. ¿Qué limitaciones se observan para realizar la auditoria?
6. Alcance y Objetivos de la Auditoria
6.1. Los Objetivos de la planeación de la auditoria son:
6.1.1. El Objetivo General
6.1.1.1. Es el fin global de lo que se pretende alcanzar con el desarrollo de la auditoria informática y de sistema, en él se plantea todos los aspectos que se pretende evaluar.
6.1.2. Los Objetivos Específicos
6.1.2.1. Son los fines individuales que se pretenden para el logro del objetivo general, donde se señala específicamente los sistemas, componentes o elementos concretos que deben ser evaluados.
6.1.3. Puntos que serán Evaluados
6.1.3.1. La Gestión Administrativa del área informática y el centro de cómputo.
6.1.3.2. El Cumplimiento de las funciones del personal informático y usuarios de los sistemas.
6.1.3.3. Los sistemas en desarrollo.
6.1.3.4. La Operación de los sistemas en producción.
6.1.3.5. Los programas de Capacitación para el personal del área y usuarios de los sistemas.
6.1.3.6. Protección de las bases de datos.
6.1.3.7. Datos Confidenciales y accesos a las mismas.
6.1.3.8. Prtección de las Copias de Seguridad y la restauración de la información.
6.1.4. Elaborar Planes, Programas y Presupustos para Realizar la Auditoria
6.1.4.1. Algunos de los Aspectos a tener en cuenta son:
6.1.4.1.1. Las Actividades que se van a realizar.
6.1.4.1.2. Los Responsables de realizarlas.
6.1.4.1.3. Los Recursos, Materiales y los tiempos.
6.1.4.1.4. El flujode eventos que sirven de guía.
6.1.4.1.5. La estimación de los recursos humanos.
6.1.4.1.6. Materiales e informáticos que serán utilizados.
6.1.4.1.7. Los tiempos estimados para las actividades y para la auditoría.
6.1.4.1.8. Los Auditores responsables y participantes de las actividades.
6.1.5. Identificar y seleccionar los Métodos, herramientas, Instrumentos y Procedimientos necesarios para la Auditoria
6.1.5.1. Se determina la documentación y medios necesarios para llevar a cabo la revisión y evaluación en la empresa,, seleccionando o diseñando los métodos, procedimientos, herramientas, e instrumentos necesarios de acuerdo a los planes, presupuestos y programas establecidos anteriormente para la auditoria.
6.1.5.1.1. Establecer la guía de ponderación de cada uno de los puntos que se debe evaluar
6.1.5.1.2. Elaborar una guía de la auditoria
6.1.5.1.3. Elaborar el documento formal de la guía de auditoría
6.1.5.1.4. Determinar las herramientas
6.1.5.1.5. Métodos y procedimientos para la auditoria de sistemas
6.1.5.1.6. Diseñar los sistemas
6.1.5.1.7. Programas y métodos de pruebas para la auditoria
6.1.6. Asignar los Recursos y Sistemas computacionales para la auditoria
6.1.6.1. Se debe asignar los recursos que serán utilizados para realizar la auditoria. Con la asignación de estos recursos humanos, informáticos, tecnológicos y de cualquier otro tipo se llevará a cabo la auditoria.
7. Estado del Entorno Auditable
7.1. Conocimiento del sistema o área auditada
7.1.1. Identificar el origen de la auditoria.
7.1.2. Realizar visitas para conocer procesos, activos informáticos, procesos y organización del área auditada.
7.1.3. Determinar las vulnerabilidades, y amenazas informáticas a que está expuesta la organización.
7.1.4. Determinar el objetivo de la auditoría de acuerdo a las vulnerabilidades, y amenazas informáticas encontradas
7.2. Planeación de la Auditoria de Sistemas
7.2.1. Elaborar el plan de auditoría
7.2.2. Seleccionar los estándares a utilizar de acuerdo al objetivo (CobIT, MAGERIT, ISO/IEC 27001, ISO/IEC 27002, otro)
7.2.3. De acuerdo al estándar elegido, seleccionar los ítems que serán evaluados que estén en relación directa con el objetivo y alcances definidos en el plan.
7.2.4. Seleccionar el equipo de trabajo y asignar tareas específicas
7.2.5. Determinar las actividades que se llevarán a cabo y los tiempos en que serán llevadas a cabo en cada ítem evaluado. (Programa de auditoría)
7.2.6. Diseñar instrumentos para recolección de información (formatos de entrevistas, formatos de listas de chequeo, formatos de cuestionarios)
7.2.7. Diseñar el plan de pruebas (formato pruebas)
7.3. Ejecución de la Auditoria de Sistemas
7.3.1. Aplicar los instrumentos de recolección de información diseñados
7.3.2. Ejecutar las pruebas del plan de pruebas
7.3.3. Levantar la información de activos informáticos de la organización auditada
7.3.4. Determinar las vulnerabilidades y amenazas informáticas aplicando una metodología (MAGERIT)
7.3.5. Realizar la valoración de las amenazas y vulnerabilidades encontradas y probadas
7.3.6. Realizar el proceso de evaluación de riesgos
7.3.7. Determinar el tratamiento de los riesgos
7.4. Resultados de la Auditoria de Sistemas
7.4.1. Determinar las soluciones para los hallazgos encontrados (controles)
7.4.2. Elaborar el Dictamen para cada uno de los procesos evaluados.
7.4.3. Elaborar el informe final de auditoría para su presentación y sustentación
7.4.4. Integrar y organizar los papeles de trabajo de la auditoria
7.4.5. Diseñar las políticas y procedimientos integrando los controles definidos