Seguridad y Auditoria de Sistemas-Auditoria de Informatica y Sistemas
T6 Auditoria de Sistemas 15 2
-
Upload
johann-chambilla -
Category
Documents
-
view
11 -
download
0
description
Transcript of T6 Auditoria de Sistemas 15 2
![Page 1: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/1.jpg)
Instructor 1
Desarrollo de un marco
metodológico para el desarrollo de
una labor de Auditoría de
Sistemas
![Page 2: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/2.jpg)
2
La metodología consiste en dar a conocer las pautas y
procedimientos mínimos necesarios para el desarrollo de una
labor de auditoría, desde la planificación hasta la
implementación de las recomendaciones emitidas en el informe
de auditoría. .
DEFINICION
Fuente:
NAGU y MAGU de la CGR
![Page 3: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/3.jpg)
3
Planeamiento
FASES DE LA METODOLOGIA
Trabajo de campo
Formulación del informe
Seguimiento
![Page 4: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/4.jpg)
Fase – I
Planeamiento de la Auditoría
4
![Page 5: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/5.jpg)
5
Etapa 01.- Conocimiento de la Organización a Auditar
Etapa 02.- Formulación de los objetivos específicos en relación
al objetivo general de la Auditoria
Etapa 03.- Formulación de los Programas de Auditoria y
Cuestionarios de Control Interno para los objetivos específicos
a desarrollar
Etapa 04.- Elaboración del Cronograma de Auditoria
Etapa 05.- Aprobación del plan de auditoria
FASE 01.- PLANEAMIENTO DE AUDITORIA
![Page 6: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/6.jpg)
6
Fase 01- Etapa 01.- Conocimiento de la Organización a Auditar
![Page 7: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/7.jpg)
7
Fase 01 - Etapa 02.- Formulación de los objetivos específicos en
relación al objetivo general de la Auditoria
Objetivo General Objetivos Específicos
Auditoria de Sistemas a la
Dirección de Tecnologías de
Información de la Entidad
Financiera ABC, Período 2008-
2009
Evaluar el licenciamiento de software
Evaluar las adquisiciones y contrataciones del Área
Evaluar los sistemas de información
Evaluar cumplimiento de la normatividad
Evaluar la Seguridad de la Información
Determinar el cumplimiento de planes de TI
Evaluar el Data Center y Data Center Alterno
Evaluación de los proyectos informáticos
Evaluar el cableado de data y eléctrica de la red
Evaluación de la satisfacción de la áreas usuarias
Evaluación de la Tercerización
![Page 8: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/8.jpg)
8
Los programas de auditoria, son procedimientos que comprenden
una relación lógica, secuencial y ordenada que deberán ser
aplicados por el equipo de auditoria a efectos de obtener evidencias
suficientes, competentes y relevantes, necesarias para alcanzar el
logro del objetivo(s) de auditoria.
Estructura:
• Un objetivo especifico
• Alcance (área(s) y periodo de control)
• Criterios a aplicar (normatividad afecta)
• Personal encargado del desarrollo
• Requerimiento de recursos necesarios
• Procedimientos específicos (detallados) y el Cuestionario de
Control Interno
Fase 01 - Etapa 03.- Formulación de los Programas de
Auditoria y Cuestionarios de Control Interno para los objetivos
específicos a desarrollar
![Page 9: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/9.jpg)
9
Definición de Cuestionario
• Un cuestionario es un instrumento de investigación
que se utiliza para el desarrollo de una investigación
en el campo de las ciencias sociales; es una técnica
ampliamente aplicada en la investigación de
carácter cualitativa.
• El cuestionario es "un medio útil y eficaz para
recoger información en un tiempo relativamente
breve" que tiene como objetivo buscar un fin
determinado. En su construcción pueden
considerarse preguntas cerradas, abiertas o mixtas.
Su construcción, aplicación y tabulación poseen un
alto grado científico y objetivo.
![Page 10: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/10.jpg)
10
CUATRO PREGUNTAS CLAVE.
CUESTIONARIO
• 1. ¿De cuánto tiempo disponen quienes
responderán para contestar el
cuestionario?
• 2. ¿Cuánto tiempo tiene el investigador
para editarlo, presentarlo, aplicarlo,
codificarlo, procesarlo y analizarlo?
• 3. ¿Qué tan dispuestos están para
responder quienes van a contestar?
• 4. ¿Cuánto costará su aplicación?
![Page 11: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/11.jpg)
11
Tipos de Preguntas de Aplicación en
los Cuestionarios
Preguntas
Cerradas?
Preguntas Abiertas?
![Page 12: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/12.jpg)
12
Tipos de Preguntas de Aplicación en
los Cuestionarios
Preguntas x
Rango?
Preguntas,
Varias
Fuente: Guía para la
implementación de un SCI para
Entidades del Estado (CGR)
![Page 13: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/13.jpg)
13
Formular el tiempo que demoraría la labor de control, cuando
se tenga en forma completa los procedimientos a aplicar para
cada objetivo, el cual es recomendable que no exceda de 3 meses
Fase 01 - Etapa 04.- Elaboración del cronograma de auditoria
![Page 14: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/14.jpg)
14
Fase 01 - Etapa 05.- Aprobación de la formulación del plan de
auditoria
Nuestro plan de auditoria para ser aprobado, deberá tener:
• Un objetivo general claramente establecido
• Un alcance de la labor de control
• Objetivos específicos bien determinados
• Programas de auditoria y CCI para los objetivos específicos
• Relación de Recursos Humanos requeridos
• Cronograma de ejecución y control
• Detalle de los recursos logísticos necesarios
![Page 15: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/15.jpg)
Fase –II
Trabajo de Campo
15
![Page 16: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/16.jpg)
16
Etapa 01.- Acreditación, instalación y solicitud de
información
Etapa 02.- Aplicación de programas y técnicas de auditoria
para la obtención de evidencias
Etapa 03.- Formulación de Hallazgos
Etapa 04.- Comunicación de hallazgos de auditoria.
Etapa 05.- Evaluación de descargos y desarrollo de debilidades
de control interno, comentarios y/o observaciones, conclusiones
y recomendaciones
Etapa 06.- Elaboración y revisión de los papeles de trabajo
FASE 02.- DESARROLLO DE TRABAJO DE CAMPO
![Page 17: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/17.jpg)
17
Fase 02 y Etapa 02.- Aplicación de programas y técnicas de
auditoria para la obtención de evidencias
En cada objetivo especifico de control los auditores responsables, deben tener claro
que deben encontrar evidencia(s) y/o riesgo(s) que han hecho, vienen o pueden
hacer daño al área de TI y por ende al Negocio y que deben ser reflejados en una
labor de auditoría.
Objetivo XYZ
App. de Programa
de Auditoria
(PA)
RRHH
Asignados
Criterios de
Control y
Soporte
Logístico
La aplicación del PA, con
los RRHH adecuados bajo
los criterios de control
adecuados, bajo un tiempo
determinado va permitir
encontrar las …..
Evidencias
y/o
Riesgos
en TI
del
Negocio
para los
Hallazgos
![Page 18: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/18.jpg)
18
Fase 02. Etapa 03.- Formulación de Hallazgos
Los Hallazgos de Auditoría, son el resultado
de la comparación realizado entre un criterio
y la situación encontrada (pasada y/o actual)
durante el desarrollo de la labor de auditoria.
Es toda información que a juicio del auditor
le permite identificar hechos o circunstancias
importantes que inciden en la gestión del
área en cumplimiento de sus objetivos, y que
por su naturaleza merecen ser comunicadas
posiblemente en el informe de auditoría.
Consultar: NAGU de la CGR y Normas de ISACA
![Page 19: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/19.jpg)
19
Estructura de un Hallazgo
Sumilla.- Se refiere al titulo que se utiliza el hecho observado.
Condición.- Descripción de la situación irregular o deficiencia hallada,
cuyo grado de desviación debe ser demostrada. Criterio.-Normas transgredidas de carácter legal, operativo o de control
que regulan el accionar de la entidad examinada.
Causa.- Es la razón fundamental por la cual ocurrió la condición, o el
motivo por el que no se cumplió el criterio o norma.
Efecto.- Es la consecuencia real o potencial, cuantitativa o cualitativa,
que ocasiono(a) la condición.
![Page 20: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/20.jpg)
20
Efecto Causa Criterio Evidencia y/o Riesgo
Estructura de un Hallazgo
Sumilla.- Se refiere al titulo que se utiliza el hecho observado.
Condición.- Descripción de la situación irregular o deficiencia hallada,
cuyo grado de desviación debe ser demostrada. Criterio.-Normas transgredidas de carácter legal, operativo o de control
que regulan el accionar de la entidad examinada.
Causa.- Es la razón fundamental por la cual ocurrió la condición, o el
motivo por el que no se cumplió el criterio o norma.
Efecto.- Es la consecuencia real o potencial, cuantitativa o cualitativa,
que ocasiono(a) la condición.
H
A
L
L
A
Z
G
O
![Page 21: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/21.jpg)
Fase – III
Formulación del Informe de
Auditoría
21
![Page 22: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/22.jpg)
22
FASE 03.- ELABORACION DEL INFORME DE AUDITORIA “ESTRUCTURA DEL INFORME”
01 Titulo del informe
02 Índice
03 Introducción
03.01 Origen
03.02 Objetivo
03.03 Alcance
03.04 Antecedentes/Resumen del Negocio
04 Comentarios / Otros Aspectos de Importancia (Opcional)
05 Observaciones
05.01 Formulación del hallazgo convertido en observación
05.02 Comentarios y/o aclaraciones del personal comprendido en las
observaciones
05.03 Evaluación de los comentarios y/o aclaraciones presentados
06 Conclusiones
07 Recomendaciones
08 Anexos
![Page 23: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/23.jpg)
23
Marco General de los Hallazgos, Comentarios,
Observaciones, Conclusiones y Recomendaciones
Hallazgos
El la labor de
auditoría se
encuentran:
Supongamos
que tenemos
20 Hallazgos
Comentarios
Observaciones
Papeles de
Trabajo
10 Hallazgos
en comentarios
05 Hallazgos en
Observaciones
05 Hallazgos en
Observaciones
Conclusiones Recomendaciones
Conclusiones Recomendaciones
![Page 24: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/24.jpg)
24
Diferencia entre una Observación y
un Hallazgo
• Un hallazgo, es una debilidad, delito y/o deficiencia encontrada durante la fase de trabajo de campo.
• Una observación, es un hallazgo no superado durante la etapa de evaluación de descargos que comprende a los responsables del hallazgo, la cual es puesto en el informe de auditoria.
![Page 25: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/25.jpg)
25
La Observación
• Las observaciones son el resultado de la aplicación de los procedimientos de auditoria en la fase de trabajo de campo a través de la evaluación y contrastación de los hallazgos comunicados y no superado con los correspondientes comentarios y/o aclaraciones formulados por el personal comprendido en los mismos, con la documentación y evidencia sustentada.
• Las observaciones se refieren a hechos o situaciones de carácter significativo y de interés para la organización.
![Page 26: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/26.jpg)
26
Estructura de la Observación
• 01 Sumilla.- Es el título o encabezamiento que identifica el asunto materia de la observación
• 04 Elementos (condición, criterio, efecto y causa)
• Comentarios y/o aclaraciones del personal comprendido en las observaciones
• Evaluación de los comentarios y/o aclaraciones presentados
• Un número asignado en forma secuencial con el que será puesto en el informe.
![Page 27: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/27.jpg)
27
Estructura de la Observación, Conclusión
y Recomendación
• La conclusión.- Es el juicio de carácter
profesional que reflejara el auditor, basados en
la(s) observacion(es) correspondientes.
• La recomendación.- Es la formulación
preferentemente de orientación constructiva
para propiciar el mejoramiento de la gestión, se
formulan siguiendo el orden jerárquico de los
funcionarios responsables de implementarlos.
Basado en las observaciones y conclusiones
correspondientes.
![Page 28: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/28.jpg)
28
Relación entre observación, conclusión
y recomendación
• Observación N° 01 “…………………………………...”
• ………………………………………………………………......
• ………………………….
• Conclusión N° 01
• ………………………………………………………………......
• ………………………………………………………………......
• …………………………….(Observación N° 01)
• Recomendación N° 01
• …………………………………………………………………..
• ……………………………………………..(Conclusión N° 01)
![Page 29: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/29.jpg)
29
RECOMENDACIÓN
CONCLUSIÓN
OBSERVACIÓN
Efecto Causa Criterio
Que se refleja en un informe de auditoria?
Evidencia y/o Riesgo
Quien respalda el informe de auditoria?
Los papeles de trabajo de la labor de auditoria
![Page 30: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/30.jpg)
Fase – IV
Seguimiento a las
Conclusiones y
Recomendaciones de los
Informes de Auditoría
30
![Page 31: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/31.jpg)
31
La finalidad es determinar si la Organización a través de los
funcionarios responsables implemento las recomendaciones dadas
en los informes de auditoria en su oportunidad. El estado
situacional de la recomendación puede ser: pendiente, en proceso o
implementado.
Etapa 1.- Recopilación de información.
Etapa 2.- Evaluación de la documentación.
Etapa 3.- Formulación de Informes de Seguimiento.
Etapa 4.- Elevación de Informes de Seguimientos
FASE 04.- SEGUIMIENTO DE MEDIDAS
CORRECTIVAS DE LOS INFORMES DE AUDITORIA
![Page 32: T6 Auditoria de Sistemas 15 2](https://reader030.fdocumento.com/reader030/viewer/2022020118/5695d3651a28ab9b029dc60a/html5/thumbnails/32.jpg)
32
Conclusiones
• Conocer una metodología general para la labor de
auditoria, que permita al equipo de control realizar su
labor de auditoría.
• Las preguntas de un cuestionario deben ser formuladas en función al objetivo que se defina alcanzar.
• La información obtenida de los CCI deben permiten aportar indicios casi razonable para el cumplimiento del objeto de auditoria.
• Los informes de control deben respetar una estructura
• No todas las organizaciones tienen oficinas de auditoria
interna que permitan realizar seguimiento a las
recomendaciones