Papeles de Trabajo Auditoría Informática

Papeles de Trabajo Jorge Fernando Cruz

Papeles de trabajo

Son un conjunto de documentos preparados por le auditor, que le permite disponer de una información y de pruebas efectuadas durante su actuación profesional en la empresa, así como las decisiones tomadas para formar su opinión.

Papeles de trabajo Al realizar una auditoría el AUDITOR tiene que recopilar los datos obtenidos y registrarlos formalmente en docu do cume ment ntos os;; es esto toss do docu cume ment ntos os pu pued eden en se ser: r: •

•

•

•

•

•

•

Manuales Instructivos Gráficas, Resultados de procedimientos Concentradores de BD Respaldos (backups) Medios Escritos

Papeles de trabajo Recopilación •

•

•

•

•

Hechos Pruebas Tabulaciones Interpretaciones Análisis de los datos obtenidos

Papeles de trabajo Los PT proporcionan un orden adecuado al trabajo del auditor y le sirven como soporte documental para registrar y mostrar las evidencias: •

•

•

•

•

•

•

Entrevistas Cuestionarios Pruebas Encuestas Investigaciones Observaciones Opiniones

Objetivos de los papeles de trabajo Servir como evidencia del trabajo realizado y de soporte de las conclusiones del mismo. Presentar informes a las partes interesadas. Facilitar los medios para organizar, controlar, administrar y supervisar el trabajo ejecutado en las oficinas del cliente .

Contenidos del legado de papeles de trabajo

•

•

•

•

•

•

•

Hoja de identificación Índice de contenidos de los PT Dictamen preliminar Resumen de desviaciones detectadas Situaciones encontradas Programa de trabajo de auditoría Guía de auditoría

Contenidos del legado de papeles de trabajo

•

•

•

•

•

•

Inventario de Software Inventario de hardware Manual de organización Descripción de puestos Reportes de pruebas y resultados Respaldo de datos y programas de aplicación de auditoría

Contenidos del legado de papeles de trabajo

•

•

•

•

•

Respaldo de las bases de datos y de los sistemas Guías de claves para el señalamiento de los papeles de trabajo Cuadros y estadísticas concentradores de información. Anexos de recopilación de información Diagramas de flujo, de programación y de desarrollo de sistemas

Contenidos del legado de papeles de trabajo

•

•

Testimonios, actas y documentos legales de comprobación y confirmación Análisis y estadísticas de resultados, datos y pruebas de comportamiento del sistema

Claves de auditor para marcar papeles de trabajo Son las marcas de carácter informal que utiliza exclusivamente el auditor o el grupo de auditores. No existe algún convenio formal respecto al tipo de marcas utilizadas entre un auditor y otro, sino que su diseño y uso es producto de las experiencias de auditorías anteriores compartidas entre los auditores

Hoja de identificación

Empresa responsable de la auditoría Identificación del legado y la empresa Período de evaluación Responsable de la integración documentación

Índice de contenidos HW

PARA LA DOCUMENTACION RELACIONADA CON EL EQUIPO FISICO, PERIFERICOS Y DEMAS EQUIPOS DE SISTEMAS

SW

PARA LA DOCUMENTACION RELACIONADA CON EL SOFTWARE Y PAQUETERIAS

SG BD

PARA LA DOCUMENTACION RELACIONADA CON LA SEGURIDAD INFORMATICA PARA LOS DOCUMENTACION RELACIONADA CON LAS BASES DE DATOS, INFORMACION Y DEMAS ARCHIVOS DE DATOS PARA LA DOCUMENTACION RELACIONADA CON EL ANALISIS, DISEÑO Y DESARROLLO DE SISTEMA. PARA LA DOCUMENTACION RELACIONADA CON LAS INSTALACIONES DEL AREA DE SISTEMAS PARA LA DOCUMENTACION RELACIONADA CON EL CENTRO DE COMPUTO. PARA LA DOCUMENTACION RELACIONADA CON LA GESTION ADMINISTRATIVA DEL

DS IS CC CA

Dictamen Preliminar

El dictamen pr eliminar es un borrador que contiene un r esultado

preparatori o de la evaluaci ón del área de informáti ca, del sis tema auditado, de la funci ón específica de dicha área o de cualqui er 

otro aspecto relacionado con los temas de la insti tuci ón. Este docum ento es un bosqu ejo en el cual se indi can las desviacion es encontr adas y el llamado dictamen qu e hace el

auditor de lo que encont ró durante su revisión.

Resumen de desviaciones detectadas

Situaciones detectadas

Programa del trabajo de auditoría

Etapas Planeación Ejecución Dictamen

Programa del trabajo de auditoría Etapa 1: Planeación de la Auditoría • • • • •

•

•

Identificar el origen de la auditoría Realizar una visita preliminar al área que será evaluada Establecer los objetivos de la auditoría Determinar los puntos que será evaluados en la auditoría Elaborar planes, programas y presupuestos para realizar la auditoría. Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría. Asignar los recursos y sistemas computacionales por la auditoría

Programa del trabajo de auditoría Etapa 2: Ejecución de la Auditoría • •

•

•

•

Realizar las acciones programadas para la auditoría. Aplicar los instrumentos y herramientas para la auditoría. Identificar y elaborar los documentos de desviaciones encontradas. Elaborar el dictamen preliminar y presentarlo a discusión. Integrar el legajo de papeles de trabajo de la auditoría.

Programa del trabajo de auditoría Etapa 3: Dictamen de la Auditoría •

• •

Analizar la situación y elaborar un informe de situaciones detectadas. Elaborar el dictamen final. Presentar el informe de auditoría

Guía de Auditoría

Inventarios

• • • • • • • • • • •

software hardware bases de datos e información de la empresa proyectos y desarrollos computacionales puestos de trabajo en el área de sistemas reportes y pruebas de resultados mobiliario y equipos instalaciones de voz, datos y energia instalaciones de redes manuales e instructivos respaldos y sistemas de resguardo de información consumibles

Inventarios

Inventarios

Esquema de inventario de Software

Inventario de Software

Software para inventarios

AIDA64 Programa que nos permite obtener las características técnicas del hardware de una computadora

Software para inventarios

Total Network Inventory Total Network Inventory interroga a todos los ordenadores y portátiles en red y genera una completa información sobre el sistema operativo. Service Pack, compilación, dispositivos, software, procesos ejecutados y más, en los equipos remotos

Respaldo de datos, información y programas

Ingresos

Procesos

Salidas

Respaldo de base de datos e información de la empresa

Respaldo de base de datos e información de la empresa

Respaldo de programas

Debe verificar que los respaldos esté perfectamente custodiados y que no existan mas copias de las permitidas, para evitar la fuga de información de la empresa y posterior piratería de programas

Otros Anexos Anexos • • •

•

• •

Resultados del procesamiento de datos. Descripción de puestos, funciones y actividades. Resultados de pruebas y cálculos de procesamientos que se efectúan en el sistema. Copias de formatos y licencias de programas y paqueterías. Copias de resguardos de equipos y mobiliario Mapas de distribución de redes, instalaciones, equipos, muebles y sistemas de información.

Otros Anexos Anexos • •

•

•

•

•

Mapas de rutas de evacuación y seguridad del área de sistemas. Bitácoras de reportes y reportes de servicios de mantenimiento preventivo y correctivo. Resultados de inventarios y pruebas de la arquitectura de los sistemas. Resultados de diseños, análisis, codificación , pruebas y liberación de sistemas. Copias de programas fuente, objeto, y codificación de los sistemas desarrollados en la empresa. Resultados de cotizaciones y estudios de mercado para adquisiciones de hardware, software, mobiliario y consumibles de sistemas. Diagramas de sistemas de programación y desarrollo de sistemas

Guía de marcas y señales

Cuadros estadísticos y gráficos

Estos documentos son complemento de alguna revisión y sirven para identificar y comprobar desviaciones y situaciones.

Diagramas de Sistemas Es la representación gráfica del procedimiento que se sigue para realizar una serie de operaciones

•

•

•

 Diagrama de flujo: Ejemplifica el flujo que siguen los datos mediante símbolos  Diccionario de datos: Identifica el contenido y composición de las bases de datos.  Modelos: Ayudan al auditor a representar la realidad de lo que va a evaluar.

El plan del auditor informático

El plan del auditor informáticos

Consiste en definir un conjunto de proyectos de evaluación y verificación de políticas, controles y procedimientos de la empresa que se encuentran relacionados con los recursos informáticos. Es el esquema metodológico más importante del auditor informático

Objetivos del plan auditor informático

Es brindar a los responsables de dichas áreas un camino estructurado por el que obtengan los resultados esperados por  la empresa, siguiendo un plan. El plan auditor describe todo el trabajo que realiza desde el inicio de la auditoría informática, ya sea por auditor interno o externo, hasta la entrega del informe final y la manera de alcanzarlos

Consideraciones para el plan de la auditoría informática Elaboración de una matriz de riesgos. Elaboración de un plan consolidado de proyectos. Presentación del plan de proyectos Clasificación de riesgos. Revisión de la matriz de riesgos y del pronóstico de proyectos. Debilidades que pueden motivar la auditoría de un sistema de información