2.1.2 Planeación de Auditora Informática.

Para realizar una auditoría de sistemas se requiere  planear una serie ordenada de acciones y procedimientos específicos, que deben ser ejecutados de forma secuencial, cronológica y ordenada, teniendo en cuenta etapas, eventos y  actividades que se requieran para su ejecución que serán establecidos de acuerdo a las necesidades de la empresa. Estos procedimientos se  adaptarán de acuerdo al tipo de auditoría de sistemas que se vaya a realizar y con el cumplimiento estricto de las necesidades, técnicas y métodos de evaluación del área de sistematización. Los métodos deben seguirse para la determinación de las herramientas e instrumentos de revisión que serán utilizados en la auditoria, la metodología cubre tres etapas: la primera de planeación, la segunda de ejecución y la tercera del dictamen de la auditoria.

Etapa de Planeación de la Auditoría

El primer paso para realizar una auditoría de sistemas es la planeación de cómo se va a ejecutar la auditoría, donde se debe identificar de forma clara  las razones por las que se va a realizar la auditoría, la determinación del objetivo de la misma, el diseño de métodos, técnicas y procedimientos necesarios para llevarla a cabo y para la solicitud de documentos que servirán de apoyo para la ejecución, terminando con la elaboración de la documentación de los planes, programas y presupuestos para llevarla a cabo.

Identificar el origen de la auditoría: este es el primer paso para iniciar la planeación de la auditoría, en esta se debe determinar por qué surge la necesidad o inquietud de realizar una auditoría. Las preguntas que se deben contestar ¿de dónde?, ¿porqué?, ¿Quién? o ¿para qué? Se quiere hacer la evaluación de algún aspecto de los sistemas de la empresa.

Visita Preliminar al Área informática: este es el segundo paso en la planeación de la auditoría y consiste en realizar una visita preliminar al área de informática que será auditada, luego de conocer el origen de la petición de realizar la auditoría y antes de iniciarla formalmente; el propósito es el de tener un primer contacto con el personal asignado a dicha área, conocer la distribución de los sistemas y donde se localizan los servidores y equipos terminales en el centro de cómputo, sus características, las medidas de seguridad y otros aspectos sobre que problemáticas  que se presentan en el área auditada. Se deben tener en cuenta aspectos tales como:

 La visita inicial para el arranque de la auditoría cuya finalidad es saber ¿Cómo se encuentran distribuidos los equipos en el área?, ¿Cuántos, cuáles, cómo y de qué tipo son los servidores y terminales que existen en el área?, ¿Qué características generales de los sistemas que serán auditados?, ¿Qué tipo de instalaciones y conexiones físicas existen en el área?, ¿Cuál es la reacción del personal frente al auditor?, ¿Cuáles son las medidas de seguridad física existentes en el área?, y ¿Qué limitaciones se observan para realizar la auditoría?. Con esta información el auditor podrá diseñar las medidas necesarias para una adecuada planeación de la auditoría y establecer algunas acciones concretas que le ayuden al desarrollo de la evaluación.

Establecer los Objetivos de la Auditoría: los objetivos de la planeación de la auditoría son:

El objetivo general, que es el fin global de lo que se pretende alcanzar con el desarrollo de la auditoría informática y de sistemas, en el se plantean todos los aspectos que se pretende evaluar.

 Los objetivos específicos, que son los fines individuales que se pretenden para el logro del objetivo general, donde se señala específicamente los sistemas, componentes o elementos concretos que deben ser evaluados.  

 Determinar los puntos que serán evaluados: una vez determinados los objetivos de la auditoría se debe relacionar los  aspectos  que serán evaluados,  y para esto se debe considerar aspectos específicos del área informática y de los sistemas computacionales tales como: la gestión administrativa del área informática y el centro de cómputo, el cumplimiento de las funciones del personal informático y usuarios de los sistemas, los sistemas en desarrollo, la operación de los sistemas en producción, los programas de capacitación para el personal del área y usuarios de los sistemas, protección de las bases de datos, datos confidenciales y accesos a las mismas, protección de las copias de seguridad y la restauración de la información, entre otros aspectos.

Elaborar planes, programas y presupuestos para realizar la auditoría: para realizar la planeación formal de la auditoría informática y de sistemas, en la cual se concretan los planes, programas y presupuestos para llevarla a cabo se debe elaborar los documentos formales para el desarrollo de la auditoría,  donde se delimiten las etapas, eventos y actividades y los tiempos de ejecución para el cumplimiento del objetivo, anexando el presupuesto con los costos de los recursos que se utilizarán para llevarla a cabo.

Algunos de los aspectos a tener en cuenta serán: las actividades que se van a realizar, los responsables de realizarlas, los recursos materiales y los tiempos; el flujo de eventos que sirven de guía; la estimación de los recursos humanos, materiales e informáticos que serán utilizados; los tiempos estimados para las actividades y para la auditoría; los auditores responsables y participantes de las actividades; otras especificaciones del programa de auditoría.

Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría: en éste se  determina la documentación y medios necesarios para llevar a cabo la revisión y evaluación en la empresa, seleccionando o diseñando los métodos, procedimientos, herramientas, e instrumentos necesarios de acuerdo a los planes, presupuestos y programas establecidos anteriormente para la auditoría. Para ello se deben considerar los siguientes puntos: establecer la guía de ponderación de cada uno de los puntos que se debe evaluar; elaborar una guía de la auditoría; elaborar el documento formal de la guía de auditoría; determinar las herramientas, métodos y procedimientos para la auditoría de sistemas; diseñar los sistemas, programas y métodos de pruebas para la auditoría.

Asignar los recursos y sistemas computacionales para la auditoría: finalmente se debe asignar los recursos que serán utilizados para realizar la auditoría. Con la asignación de estos recursos humanos, informáticos, tecnológicos y de cualquier otro tipo se llevará a cabo la auditoría.

fases de la Auditoria Informática

ETAPAS	PASOS A REALIZAR
Planeación de la Auditoria de Sistemas	Identificar el origen de la auditoría. Realizar una visita preliminar al área que será evaluada. Establecer los objetivos de la auditoría. Determinar los puntos que serán evaluados en la auditoría. Elaborar planes, programas y presupuestos para realizar la auditoría. Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría. Asignar los recursos y sistemas computacionales para la auditoría.
Ejecución de la Auditoria de Sistemas	Realizar las acciones programadas para la auditoría. Aplicar los instrumentos y herramientas para la auditoría. Identificar y elaborar los documentos de oportunidades de mejoramiento  encontradas. Elaborar el dictamen preliminar y presentarlo a discusión. Integrar el legajo de papeles de trabajo de la auditoría
Dictamen de la Auditoria de Sistemas	Analizar la información y elaborar un informe de situaciones detectadas. Elaborar el Dictamen final. Presentar el informe de auditoría.

TRABAJO FINAL

1. Termina tu plantilla unidad I, y conviertelo a pdf.
2. Sube tu archivo pdf a el servidor de tu preferencia.
3. publica el link aquí, en un comentario con los nombres de los integrantes.

GUÍA PARA EL EXAMEN DE LA UNIDAD I. EL AUDITOR Y LA ORGANIZACIÓN.

GUIA PARA EL EXAMEN UNIDAD I “AUDITORIA DE SISTEMAS DE TI”

UNIDAD I. EL AUDITOR Y LA ORGANIZACIÓN.

 Auditoria Informática

Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e información utilizados en una empresa, sean individuales, compartidos y/o de redes, así como a sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás componentes.

 Auditoria Interna

Es la revisión que realiza un profesional de la auditoría, cuya relación de trabajo es directa y subordinada a la institución donde se aplicará la misma, con el propósito de evaluar en forma interna el desempeño y cumplimiento de las actividades, operaciones y funciones que se desarrollan en la empresa y sus áreas administrativas, así como evaluar la razonabilidad en la emisión de sus resultados financieros.

 Auditoria Externa

Es la revisión que lleva a cabo una persona u organismo independiente de la empresa y tiene por objeto evaluar el desempeño en las actividades, operaciones y funciones que se ejecutan, además de determinar si los datos de la empresa se ajustan a los resultados financieros reales.

Principios y valores del auditor

·          Honestidad

·          Integridad

·          Cumplimiento

·          Lealtad

·          Imparcialidad

·          Respeto a los demás

·          Ciudadano responsable

·          Ver por los demás

·          Búsqueda de la excelencia

·          Responsabilidad

·          Confiabilidad

·          Veracidad

Normas profesionales del auditor

1.     Normas permanentes de carácter profesional

Son aquellas que debe cumplir invariablemente el profesional dedicado a la actividad de la auditoría de sistemas computacionales; el auditor no debe admitir bajo ninguna circunstancia variación alguna respecto a la aplicación y cumplimiento de dichas normas.

·          Emitir una opinión responsable y profesional respaldada en evidencias comprobadas.

·          Mantener una disciplina profesional

·          Guardar el secreto profesional

·          Tener independencia mental

·          Contar con responsabilidad profesional

·          Capacitación y adiestramiento permanentes

·          Hacer una planeación de la auditoría y de los programas de evaluación

·          Hacer la presentación del dictamen por escrito, así como la aclaración de diferencias

2.     Normas de carácter social

El auditor, como todo profesional y cualquier ciudadano, vive en una sociedad en la cual desempeña su actividad profesional y a la cual sirve con su trabajo. Dicha sociedad se rige por una serie de normas y obligaciones, muchas de ellas no escritas, pero sí aceptadas por los integrantes de esa comunidad.

·          Acatar las normas y obligaciones de carácter social

·          Evitar y prevenir sobornos, componendas y dádivas

·          Ser leal con los auditados

·          Contar con una opinión profesional y defenderla

·          Emitir un dictamen con firma profesional

·          Contar con apoyo didáctico y normativo vigente

Normas de comportamiento ético-moral

Aunque ya fueron señaladas como las obligaciones y responsabilidades de carácter ético y moral que debe cumplir el auditor, a continuación vamos a analizar, desde la óptica del aspecto profesional, la normas de conducta que como profesional debe acatar el auditor, dentro de un estricto sentido ético y moral; dichas normas son las siguientes.

·          Ser incorruptible e insobornable

·          Ser imparcial en los juicios que emite como auditor.

·          Contar con un juicio sereno, ético y moral

·          Acatar y hacer cumplir las normas morales y éticas

 Funciones de Auditoria

·          Realizar una evaluación con personal multidisciplinario y capacitado en el área de sistemas, con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestión administrativa del área de informática.

·          Hacer una evaluación sobre el uso de los recursos financieros en las áreas del centro de información, así como del aprovechamiento del sistema computacional, sus equipos periféricos e instalaciones.

·          Evaluar el uso y aprovechamiento de los equipos de cómputo, sus periféricos, las instalaciones y mobiliario del centro de cómputo, así como el uso de sus recursos técnicos y materiales para el procesamiento de información.

·           Evaluar el aprovechamiento de los sistemas de procesamiento, sus sistemas operativos, los lenguajes, programas y paqueterías de aplicación y desarrollo, así como el desarrollo e instalación de nuevos sistemas.

·          Evaluar el cumplimiento de planes, programas, estándares, políticas, normas y lineamientos que regulan las funciones y actividades de las áreas y de los sistemas de procesamiento de información, así como de su personal y de los usuarios del centro de información.

·          Realizar la evaluación de las áreas, actividades y funciones de una empresa, contando con el apoyo de los sistemas computacionales, de los programas especiales para auditoría y de la paquetería que sirve de soporte para el desarrollo de auditorías por medio de la computadora.

·          Apoyo de función informática a las metas y objetivos de la organización.

·          Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático.

·          Buscar una mejor relación costo-beneficio de los sistemas.

·          Apoyar a la toma de decisiones de inversión y gastos innecesarios.

·          Incrementar la satisfacción de los usuarios de los sistemas.

·          Asegurar integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.

·          Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.

·          Minimizar existencia de riesgos en el uso de TI.

·          Capacitación y educación sobre controles en los Sistemas.

 ¿Qué son las TI?

Son una herramienta de proceso de información básica para cualquier actividad, que se derivan de los primeros ordenadores y de la informática que nacieron en el siglo pasado. Están cambiando la sociedad y prometen seguir haciéndolo hacia límites y de formas que hoy no podemos ni siquiera imaginar

 Estructura Organizacional

Es la coordinación de una serie de partes o elementos dispuestos en un cierto orden y con determinadas relaciones entre ellos. Ordenación que ha de ser relativamente duradera. Es la suma total de los modos en que ésta divide su trabajo en distintas tareas y los mecanismos a través de los cuales consigue la coordinación entre ellas. Se trata de un modelo relativamente estable de la organización que no puede identificarse totalmente con ella.

 Elementos estructurales:

·          La división de funciones,

·          La distribución de puestos,

·          La ordenación de los distintos niveles de toma de decisiones;

Concepto de Política

Es la orientación o directriz que debe ser divulgada, entendida y acatada por todos los miembros de la organización, en ella se contemplan las normas y responsabilidades de cada área de la organización.

 Manual de Políticas  

Es un documento que contiene la descripción de actividades que deben seguirse en la realización de las funciones de un área administrativa. En él se encuentra registrada y transmitida la información básica que facilita las labores, la evaluación interna y su vigilancia, la conciencia en los empleaos y en sus jefes de que el trabajo se está realizando o no adecuadamente.

 Concepto de Manual

Los manuales son textos utilizados como medio para coordinar, registrar  datos e información en forma sistémica y organizada. También es el conjunto de orientaciones o instrucciones con el fin de guiar o mejorar la eficacidad de las tareas a realizar.

 Tipos de Manuales

Manual de Organización: este tipo de manual resume el manejo de una empresa en forma general. Indican la estructura, las funciones y roles que se cumplen en cada área.

Manual Departamental: dichos manuales, en cierta forma,  legislan el modo en que deben ser llevadas a cabo las actividades realizadas por el personal. Las normas están dirigidas al personal en forma diferencial según el departamento al que se pertenece y el rol que cumple

Manual de Procedimientos: este manual determina cada uno de los pasos que deben realizarse para emprender alguna actividad de manera correcta.

Manual de Técnicas: estos manuales explican minuciosamente como deben realizarse tareas particulares, tal como lo indica su nombre, da cuenta de las técnicas.

Manual de Bienvenida: su función es introducir brevemente la historia de la empresa, desde su origen, hasta la actualidad. Incluyen sus objetivos y la visión particular de la empresa. Es costumbre adjuntar en estos manuales un duplicado del reglamento interno para poder acceder a los derechos y obligaciones en el ámbito laboral.

Manual de Puesto: determinan específicamente cuales son las características y responsabilidades a las que se acceden en un puesto preciso.

Manual Múltiple: estos manuales están diseñados para exponer distintas cuestiones, como por ejemplo normas de la empresa, más bien generales o explicar la organización de la empresa, siempre expresándose en forma clara.

Manual de Finanzas: tiene como finalidad verificar la administración de todos los bienes que pertenecen a la empresa. Esta responsabilidad está a cargo del tesorero y el controlador.

Manual de Sistema: debe ser producido en el momento que se va desarrollando el sistema. Está conformado por otro grupo de manuales

Recursos humanos (Capital Humano.)

Es un concepto que remite a la productividad de los trabajadores en función de su formación y experiencia de trabajo. El mismo busca dar cuenta de distintas ventajas en términos de generación de valor considerando al aporte humano que se realiza en un mercado determinado. Por extensión, muchas veces se utiliza el término “capital humano” para dar cuenta de los recursos humanos que tiene una empresa, de sus competencias conjugadas que derivan en una mejora general en la producción.

 La gestión de Recursos Humanos.

Es la capacidad de mantener a la organización productiva, eficiente y eficaz, a partir del uso adecuado de su recurso humano. Procesos de la gestión Recursos Humanos se muestran a continuación.

1.             Selección.

2.             Evaluación del Desempeño

3.             Formación

4.             Promoción y finalización.

Diagnóstico de la situación actual.

Es la identificación, descripción y análisis evaluativo de la situación actual de la organización o del proceso en función de los resultados que se esperan y que fueron planteados en la misión. Es a la vez una mirada sistémica y contextual, retrospectiva y prospectiva, descriptiva y evaluativa.

Guía para elaborar un diagnóstico situacional

A)            Análisis de Fuerzas Competitivas

B)            Análisis FODA

C)            Factores Críticos de Éxito

D)            Identificación de Problemas.

 Análisis de las fuerzas competitivas

Para realizar una adecuado diagnóstico situacional estratégico y poder plantear nuestras estrategias, procederemos a responder las siguientes preguntas en relación con las fuerzas competitivas.

Análisis DOFA

el análisis DOFA (Debilidades, Oportunidades, Fortalezas y Amenazas) consiste en reunir información tanto del entorno como de la propia empresa, siendo su objetivo encontrar la mejor relación entre las tendencias que se perciben del entorno y el potencial propio de la empresa.

Factores críticos de éxito

Son aquellos aspectos que deben ir bien para que el «negocio» sea exitoso, y que si fallan pueden provocar el fracaso de la actividad institucional. Estos aspectos o factores pueden ser controlados por la Institución, y tiene que sobresalir en ellos para lograr una ventaja competitiva sostenible a largo plazo y un nivel de rentabilidad por sobre los estándares del Sector.

Identificación de problemas

Los problemas son aquellos aspectos que dificultan el logro de nuestros objetivos, que entorpecen el desenvolvimiento de las acciones u operaciones de una institución y que al ser identificados deben ser orientados a situaciones del ámbito general y que no correspondan solamente a un área, servicio, departamento o programa en particular.

 Control Interno

Es el establecimiento de los mecanismos y estándares de control que se adoptan en las empresas, a fin de ayudarse en la administración correcta de sus recursos, en la satisfacción de sus necesidades de seguridad, en la salvaguarda y protección de los activos institucionales, en la ejecución adecuada de sus funciones, actividades y operaciones, y en el registro correcto de sus operaciones contables y reportes de resultados financieros; todo ello para el mejor cumplimiento del objetivo institucional.

Tipos de Control Interno en TI.

Controles internos para la organización del área de informática

            Dirección

            División del trabajo

            Asignación de responsabilidad y autoridad

            Establecimiento de estándares y métodos

            Perfiles de puestos

Controles internos para el análisis, desarrollo e implementación de sistemas

            Análisis del sistema actual

            Diseño conceptual

            Diseño detallado

            Programación

            Pruebas y correcciones

            Documentación del sistema

            Capacitación de usuarios

            Implementación del sistema

            Liberación del sistema

            Mantenimiento

Controles internos para la operación del sistema

            Prevenir y corregir errores de operación

            Prevenir y evitar la manipulación fraudulenta de la información

            Implementar y mantener la seguridad en la operación

            Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el procesamiento de la información de la institución

Controles internos para los procedimientos de entrada de datos, el procesamiento de información y la emisión de resultados.

            Verificar la existencia y funcionamiento de los procedimientos de captura de datos.

            Comprobar que todos los datos sean debidamente procesados.

            Verificar la confiabilidad, veracidad y exactitud del procesamiento de datos.

            Comprobar la suficiencia en la emisión de información.

Controles internos para la seguridad del área de sistemas

            Seguridad física

            Seguridad lógica

            Seguridad de las bases de datos

            Seguridad en la operación

            Seguridad del personal de informática

            Seguridad de las telecomunicaciones

            Seguridad en las redes

            Prevención de contingencias y riesgos

            Controles para prevenir y evitar las amenazas, riesgos y contingencias en las áreas de sistematización

            Controles para la seguridad física del área de sistemas

            Controles para la seguridad lógica de los sistemas

            Controles para la seguridad de las bases de datos

            Controles para la seguridad en la operación de los sistemas computacionales

            Controles para la seguridad del personal de informática

            Controles para la seguridad en la telecomunicación de datos

            Controles para la seguridad en sistemas de redes y multiusuarios