OBJETIVO GENERAL
Evaluar el funcionamiento, seguridad, integridad, confidencialidad y confiabilidad de los sistemas informáticos. para el correcto ingreso de datos procesamiento adecuado de la información y la emisión oportuna de los resultados, incluyendo la evaluación del cumplimiento de las funciones, actividades, y operaciones de empleados, usuarios involucrados con los servicios que proporcionan los sistemas de información dentro de la empresa Guzmán & Asociados
OBJETIVOS ESPECIFICOS
- Evaluar si la persona encargada del mantenimiento y programación del sistema informático de la empresa cumple con el perfil del puesto.
- Identificar las áreas críticas, con respecto a la seguridad del equipo del área de informática.
- Diseñar los procedimientos a efectuar en el desarrollo de la auditoría del área de informática.
- identificar las soluciones de mejoramiento a la red de la empresa de acuerdo a los resultados obtenidos Establecer el alcance en cuanto a los procedimientos, de tal manera que conduzcan a la formulación del informe de la auditoria de sistemas.
De las instalaciones físicas se evaluará:
Instalaciones eléctricas Instalación cableado de la red de datos Sistemas de protección eléctricos Seguridad de acceso físico a las instalaciones
De Seguridad Lógica se evaluará:
Controles de acceso a la información
De equipos o hardware se evaluará:
Inventarios de hardware de redes y equipos Mantenimiento preventivo y correctivo de equipos y redes Hojas de vida de los equipos de cómputo y redes Los programas de mantenimiento de los equipos de cómputo y redes Revisión de informes de mantenimiento Personal encargado de mantenimiento Obsolescencia de la tecnología
METODOS APLICABLES PARA SU DOCUMENTACION:
DESCRIPTIVO
La documentación utilizada durante la auditoría, será de tipo descriptiva o sea basada en la narración verbal de los procedimientos, la cuales son conocidas como cédulas narrativas.
CUESTIONARIO
Los procedimientos se documentarán a través de la pre elaboración de preguntas, contestadas personalmente por los líderes de la empresa o por el personal encargado de los sistemas informáticos y por algunos usuarios dentro de la empresa que tenga relación con el mismo..
EVALUACIÓN
Las evaluaciones se utilizaran para valorar registros, planes, presupuestos, programas, controles y otros aspectos que afectan la administración y control de una organización o las áreas que la integran.
INSPECCIÓN
Evaluará la eficiencia y eficacia del sistema, en cuanto a operación y procesamiento de datos para reducir los riesgos y unificar el trabajo hasta finalizarlo.
CONFIRMACIÓN
Se realizará la confirmación de los hechos y la certificación de los datos que se obtienen en la revisión, ya que el resultado final de la auditoria es la emisión de un dictamen donde el auditor expone sus opiniones.
COMPARACIÓN En la auditoria de sistemas de software, se realiza la comparación de los resultados obtenidos con el sistema y los resultados con el procesamiento manual, el objetivo de dicha comparación será comprobar si los resultados son iguales, o determinar las posibles desviaciones y errores entre ellos.
REVISIÓN DOCUMENTAL
Aquí se analizara el registro de actividades y operaciones plasmadas en documentos y archivos formales, con el fin de que el auditor sepa cómo fueron registrados las operaciones, resultados y otros aspectos inherentes al desarrollo de las funciones y actividades normales de la organización. En esta evaluación se revisan manuales, instructivos, procedimientos, funciones y actividades. El registro de resultados, estadísticas, la interpretación de acuerdos, memorandos, normas, políticas y todos los aspectos formales que se asientan por escrito para el cumplimiento de las funciones y actividades en la administración de las organizaciones.
OBSERVACIÓN
Examinar los diferentes aspectos que intervienen en el funcionamiento del área informática y los sistemas software, recolectando la información directamente sobre el comportamiento de los sistemas, del área de informática, de las funciones y actividades, los procedimientos y operación de los sistemas.
ENTREVISTAS
Nos permitirá la recolección de información para la captura de los datos informados por medio de grabadoras digitales o cualquier otro medio. En la entrevista, el auditor interroga, investiga y conforma directamente sobre los aspectos que se está auditando, además Contiene una serie de preguntas sobre los temas que se quiere tocar, y que a medida que avanza pueden irse adaptando para profundizar y preguntar sobre el tema.
PLANEACION DETALLADA
Rubros a Examinar: Consiste en descomponer las partes integrantes del Sistema Informático, en secciones manejables, facilitando con ello el análisis integral y exhaustivo, con el propósito de obtener resultados correctos y claros en cada uno de sus niveles operativos del sistema informático.
Primera descomposición: Hardware, software, personal, instalaciones eléctricas, seguridad.
Segunda descomposición o detalle: Computadores, periféricos, software de uso general, software de uso específico, personal del área de informática, usuarios del sistema informático, red eléctrica, seguridad física de los sistemas informáticos, seguridad lógica del sistema, seguridad del personal, seguridad de la información y las bases de datos, seguridad en el acceso y uso del software, seguridad en la operación del hardware, seguridad en las telecomunicaciones.
Tercera descomposición: Las áreas de mayor riesgo, son descompuestas en sus subdivisiones más significativas, por lo cual se debe validar el funcionamiento de ellos mediante un examen operativo y el respectivo cumplimiento de las políticas institucionales en cuanto a su uso y aplicación.
Cuarta descomposición: Esta última se refiere al examen propio de cada una de las áreas específicas, con el fin de asegurar el buen funcionamiento de cada uno de los componentes del sistema informático, estos casos requerirán su validación.
Comparaciones: Se establecerán comparaciones sobre el actual funcionamiento de los sistemas informáticos y las especificaciones de sobre cómo deberían funcionar, para establecer si se les está dando el uso adecuado y si se está obteniendo los máximos resultados de la aplicación de dichos sistemas.
Generación de detalles periódicos: Algunas áreas serán analizadas por períodos, con el fin de verificar su desarrollo a través del tiempo, en cambio, habrá otros que por su naturaleza, se pueden analizar en un momento fijo y que pueden generalizarse a diversos períodos, para ello, en el caso de que se encuentre situaciones en las cuales sea necesaria la actuación inmediata, se generarán reportes intermedios hacia la gerencia, con el fin de que sean buscados los correctivos correspondientes de manera inmediata.
Examen documental: se consolida como la base de la auditoría y el enlace entre la investigación y la emisión de una opinión e informe, la inspección de los documentos anexos a cada operación del sistema informático, cuando por la naturaleza de las mismas exista un documento que ampare las operaciones.
Margen de Importancia: Dentro de este apartado, se deben analizar y señalar aquellos conceptos cuyo impacto de su inclusión, exclusión o revelación textual pueda modificar la opinión sobre ellas. Ello requiere de parte del auditor, la capacidad de generar opiniones similares a la suya, entre los usuarios de los sistemas informáticos.
Elaboración de cuestionario de control interno: Para conocer el funcionamiento del departamento de informática dentro de la entidad, se diseñará un cuestionario de control interno, en el cual se harán en su mayoría preguntas cerradas, con el propósito de conocer las actividades a las cuales se dedica la institución, quienes las efectúan, en qué momento se realizan los procesos y por quienes se realizan, con el fin de detectar posibles fallas y con base en ello, detectar la clase de riesgo que presenten cada una de las operaciones y procedimientos. Dichos datos servirán en su conjunto para la realización de la correspondiente planilla de decisiones preliminares y el programa de auditoría.
circunstancia que detalle el trabajo a efectuar. Es importante mencionar que este no se caracterizará por su naturaleza inflexible, por encontrarse sujeto a ampliaciones o reducciones necesarias, originadas en conclusiones parciales, nuevos eventos o diversas situaciones que pudiesen desviar los objetivos propios de la investigación.
Verificación de generalidades concernientes a los documentos emitidos.
Análisis y validación de los documentos anexados que soportan las adquisiciones de bienes y servicios a utilizarse por los diversos usuarios del sistema informático.
Conocimiento sobre controles de inventarios o la ausencia de los mismos con respecto a los bienes del área de informática.
Verificación documental y física de las adquisiciones de bienes del área de informática.
Elaboración de cédulas narrativas por los procedimientos alternos efectuados cuya documentación no se refiere a papeles de cálculo, anexos proporcionados por el contribuyente o por terceros.
Documentación adecuada de hallazgos.
Rendimiento de informes parciales o previos, ante la detección de errores cuyo impacto sea relevante, con firma y fecha de recibidos, como constancia de divulgación oportuna.
Adición de notas oportunas sobre la atención u omisión de las observaciones a que se refiere el apartado anterior.
Preparación del informe final de auditoría, con copia para los encargados del sistema de informático del negocio.
Nota: Toda la metodología y procedimientos detallados, no inhiben de sostener reuniones periódicas o eventuales con la administración, a efectos de discutir, ampliar o sugerir sobre la forma de operar y aspectos que de manera inmediata sea necesario corregir, asimismo cualquier consulta o requerimiento se efectuará de forma escrita como constancia de realizado.
RECURSOS A UTILIZAR
HUMANOS
- Auditor
- Auditores auxiliares
- Programador analista
- Especialista en redes informáticas
- Técnico en electricidad
- Folders Papel Bond
- Hojas tamaño carta
- Hojas tamaño oficio
- Lapiceros y útiles de oficinas
- Combustibles
- Instalaciones
- Dispositivos de red
- Equipos de cómputos portátiles
- Software instalado para la red
- Grabadora digital
- Cámara digital
- Internet
Se espera realizar la auditoría al sistema conformado de 8 computadoras conectadas en red en un tiempo probable de 2 meses y medio.
PRESUPUESTO
Útiles y papelería
Q. 150.00
Equipos de oficina
Medios de almacenamiento magnético como: 1 caja de CD, USB Q. 200.00
Gastos generales: Cafetería, imprevistos, transporte, etc.
.Q. 1,500.00Pago de Honorarios (12,000.00 mensual x c/a)Q. 84,000.00