Escolar Documentos
Profissional Documentos
Cultura Documentos
INDICE
Fase V: Evaluacin de Controles ................................................................................................ 39 Fase VI: Informe de Auditoria ..................................................................................................... 39 Fase VII: Seguimiento de Recomendaciones.............................................................................. 39 EC09: FASES DE LA AUDITORIA INFORMTICA ................................................................................... 46 EC10: PLANEACIN DE LA AUDITORA................................................................................................ 48 EC11: REVISIN PRELIMINAR............................................................................................................ 49 EC12: REVISIN DETALLADA ............................................................................................................ 50 EC13: AUDITORA FSICA .................................................................................................................. 51
ANEXOS................................................................................................................................. 63
El Bloque I, tiene como finalidad conocer los elementos fundamentales de la auditoria informtica, as como sus conceptos bsicos y principios ticos para identificar su utilidad en las organizaciones.
M.C. Gabriel Huesca Aguilar Pgina 4
En el hospital El paciente impaciente han desaparecido dos computadoras una en el servicio de archivo y otra del servicio de cuidados intensivos. Por lo anterior se han desatado algunos problemas que conllevan a subsanar dicha perdida. 1. Qu debe hacer el encargado para sustituir las computadoras? 2. Cunto tiempo crees que es necesario para tener una computadora que haga el mismo trabajo que hacia la que robaron? 3. Qu haras t para arreglar el problema? 4. Qu debes saber para conectarlo en la red y con los archivos necesarios para trabajar correctamente?
Pgina 5
Instrucciones: Participado en la lluvia de ideas sobre los conceptos bsico acerca de la Auditoria Informtica completa el siguiente cuadro: Para crear una definicin que te permita entender de lo que ests hablando es necesario: 1. Definir de una forma concreta (objeto, animal, ciencia, procedimiento, cosa, etc) 2. Actividad que realiza el objeto de estudio (nica para el objeto). 3. Contexto en el que lo realiza 4. Referentes del objeto (ejemplos, comparaciones etc, si es posible). AUDITORIA Forma concreta Actividad que realiza
Contexto
Referentes
Contexto
Referentes
Pgina 6
Contexto
Referentes
Contexto
Referentes
Contexto
Referentes
Pgina 7
http://www.oocities.org/mx/acadentorno/aui1.pdf
Pgina 8
Pgina 9
Pgina 10
Pgina 11
Pgina 12
Pgina 13
Pgina 14
Auditora en informtica
La auditora en informtica se desarrolla en funcin de normas, procedimientos y tcnicas definidas por institutos establecidos a nivel nacional e internacional; por lo tanto, nada ms se sealarn algunos aspectos bsicos para su entendimiento. As, la auditora en informtica es: A. Un proceso formal ejecutado por especialistas del rea de auditora y de informtica; se orienta a la verificacin y aseguramiento de las polticas y procedimientos establecidos para el manejo y uso adecuado de la tecnologa de informtica en la organizacin se lleve a cabo de una manera oportuna y eficiente. B. Las actividades ejecutadas por los profesionales del rea de Informtica y de auditora encaminadas a evaluar el grado de cumplimiento de polticas, controles y procedimientos correspondientes al uso de los recursos de informtica por el personal de la empresa (usuarios, informtica, alta direcci6n, etc.). Dicha evaluaci6n deber ser la pauta para la entrega del informe de auditora en informtica, el cual ha de contener las observaciones, recomendaciones y reas de oportunidad para el mejoramiento y la optimizacin permanente de la tecnologa de informtica en el negocio. C. El conjunto de acciones" que realiza el personal especializado en las reas de auditora y de informtica para el aseguramiento continuo de que todos los recursos de informtica operen en un ambiente de seguridad y control eficientes, con la finalidad de proporcionar a la alta direccin o niveles ejecutivos la certeza de que la informacin que pasa por el rea se manejan con los conceptos bsicos de integridad, totalidad, exactitud, confiabilidad, etc. D. Proceso metodolgico que tiene el propsito principal de evaluar todos los recursos (humanos, materiales, financieros, tecnol6gicos, etc.) Relacionados con la funcin de informtica para garantizar al negocio que dicho conjunto opera con un criterio de integracin y desempeos de niveles altamente satisfactorios para que apoyen la productividad y rentabilidad de la organizacin.(Hernndez, 1997). La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos. De este modo la auditoria informtica sustenta y confirma la consecucin de los objetivos tradicionales de la auditoria: Objetivos de proteccin de activos e integridad de datos. Objetivos de gestin que abarcan, no solamente los de proteccin de activos, sino tambin los de eficacia y eficiencia. El auditor evala y comprueba en determinados momentos del tiempo los controles y procedimientos informticos ms complejos, desarrollando y aplicando tcnicas mecanizadas de auditora, incluyendo el uso del software. En muchos casos, ya no es posible verificar manualmente los procedimientos informatizados que resumen, calculan y clasifican datos, por lo que se deber emplear software de auditoria y otras tcnicas asistidas por ordenador.
M.C. Gabriel Huesca Aguilar Pgina 15
Es un examen metdico del servicio informtico, o de un sistema informtico en particular, realizado de- una forma puntual y objetiva, a instancias de 1a direccin y con la intencin de ayudar a mejorar conceptos como la seguridad, eficiencia y rentabilidad del servicio informtico. En esta definicin hay cuatro palabras que destacan: "examen", "metdico", "puntual" y "objetivo": La auditora informtica es un examen, pues se verifica o comprueba el sistema informtico actualmente en uso. Este examen es metdico, ya que sigue un plan de trabajo, perfectamente diseado, que permite llegar a conclusiones suficientemente fundamentadas. Este examen es puntual, ya que se realiza en un momento determinado y bajo peticin de la direccin. Este examen es objetivo, ya que se realiza por un equipo externo al servicio de informtica para buscar la objetividad requerida. El servicio de auditora cubre una serie de actividades (controles, verificaciones, pruebas, etc.) para concluir elaborando un conjunto de recomendaciones y un plan de accin. La elaboracin de este plan de accin es una de las caractersticas que verdaderamente diferencia la auditora informtica del resto de tipos de auditoras. Objetivos de la auditora informtica. La definicin de los objetivos de la auditora informtica es un tema difcil y complejo. No existe un total acuerdo en la definicin de tales objetivos y en consecuencia, en el establecimiento de las funciones que debe desarrollar un auditor informtico. Para precisar esta situacin sera necesario: Definir el campo de actuacin del auditor informtico. Definir los objetivos de la auditora informtica. Para el campo de actuacin del auditor, seria preciso reflexionar sobre los siguientes aspectos: Organizacin en la que se desenvolver el auditor. Estructura. Tipo de actividad de la empresa.
M.C. Gabriel Huesca Aguilar Pgina 16
De un modo general los objetivos de la auditora informtica podran ser: Elaborar un informe sobre los aspectos que afecten al alcance de una auditora y sealar riesgos de errores o fraudes de un sistema informtico. Evaluar la fiabilidad de los sistemas informticos, en cuanto a la exactitud de los datos y a las informaciones tratadas. Verificar el cumplimiento de la normativa general de la empresa. Comprobar la eficacia de los sistemas implantados. Comprobar si se ha estudiado el coste / beneficio. Garantizar la seguridad fsica y lgica. Evaluar la dependencia de una organizacin respecto a sus sistemas informticos, revisando las medidas tomadas en el caso de que se produzca un fallo y que permitan asegurar la continuidad de las actividades normales. Emisin de informes con la evaluacin independiente de los sistemas informticos. sintetizando riesgos, deficiencias, sugerencias y recomendaciones. Anlisis de la calidad y eficacia del servicio de atencin a los usuarios. Participacin y seguimiento de proyectos de investigacin.
Te quedaron dudas?, revisa estas fuentes de informacin: http://www.monografias.com/trabajos33/auditor/auditor.shtml http://www.monografias.com/trabajos17/auditoria/auditoria.shtml http://www.definicion.org/auditoria www.soeduc.cl/apuntes/concepto%20de%20auditoria.doc
Pgina 17
Pgina 18
Pgina 19
Nombre: _____________________________________________ Grupo: __________ Instrucciones: Despus de leer y analizar la informacin contenida en el anexo101, contesta las siguientes preguntas: 1. 2. 3. 4. 5. 6. 7. 8. 9. Menciona el origen de las normas y procedimientos de auditora. Menciona los objetivos de las normas y procedimientos de auditora. Qu requisitos de calidad deben reunir los miembros de la auditoria? Qu son las normas de auditora?, menciona su clasificacin Qu son los procedimientos de auditora y para qu sirven? Qu es el monitoreo? Y describe los 4 tipos brevemente. Qu es el ISO y para qu sirve? Qu es y para qu sirve el ISO 27000? Elige uno de los siguientes estndares internacionales ISO 27001, ISO 27002, ISO 27006 e ISO 27799 y desarrolla: A. Origen y actualizaciones B. Caractersticas de la norma C. Campo de aplicacin D. Referencias 10. Explica con tus propias palabras los beneficios de utilizar normas internacionales. 11. Explica brevemente el proceso de adaptacin. 12. Escribe una reflexin acerca del uso de las normas y las ventajas de utilizarlas. Evala: M.C. Gabriel Huesca Aguilar
Pgina 20
Control interno2
Bsicamente todos los cambios que se realizan en una organizacin someten a una gran tensin a los controles internos existentes. Cuando un auditor profesional se somete a auditar una empresa, lo primero que se le viene a la cabeza es mejorar todos los procesos que se llevan en la misma para buscar la eficiencia total. Este trabajo no se hace de la noche a la maana; para ello se empieza ya bien sea por reas o departamentos o mejor dicho se empieza a trabajar internamente. La mayora de las organizaciones han acometido varias iniciativas en tal sentido tales como: La reestructuracin de los procesos empresariales. La gestin de la calidad total. El redimencionamiento por reduccin y/o por aumento de tamao hasta el nivel correcto. La contratacin externa. La descentralizacin. CONTROL INTERNO INFORMATICO El control interno informtico controla diariamente que todas las actividades de sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares y normas fijados por la direccin de la organizacin y/o la direccin informtica, as como los requerimientos legales. La funcin del control interno informtico es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y vlidas. Control interno informtico suele ser un rgano staff de la direccin del departamento de informtica y est dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden. Como principales objetivos podemos indicar los siguientes: Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. Asesorar sobre el conocimiento de las normas. Colaborar y apoyar el trabajo de Auditoria informtica, as como de las auditorias externas al grupo. Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los graso adecuados del servicio informtico, lo cual no debe considerarse como que la implantacin de los mecanismos de medida y responsabilidad del logro de esos niveles se ubique exclusivamente en la funcin de control interno, si no que cada responsable de objetivos y recursos es responsable de esos niveles, as como de la implantacin de los medios de medida adecuados. La auditoria informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los eficazmente los fines de la organizacin y utiliza eficiente mente los recursos. CONTROL INFORMATICO SIMILITUDES INTERNO AUDITOR INFORMATICO
PERSONAL INTERNO Conocimientos especializados en tecnologas de informacin verificacin del cumplimiento de controles internos, normativa y procedimientos establecidos por la direccin informtica y la direccin general para los sistemas de informacin. Anlisis de los controles en el Anlisis de un momento da a da informtico determinado
DIFERENCIAS
http://aabbccddee.galeon.com/winpy.htm
Pgina 21
DEFINICION Y TIPO DE CONTROLES INTERNOS Se puede definir el control interno como "cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para lograr o conseguir sus objetivos. Los controles internos se clasifican en los siguientes: Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema. Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc. Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperacin de un fichero daado a partir de las copias de seguridad. IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS INFORMATICOS Para llegar a conocer la configuracin del sistema es necesario documentar los detalles de la red, as como los distintos niveles de control y elementos relacionados: Entorno de red:esquema de la red, descripcin de la configuracin hardware de comunicaciones, descripcin del software que se utiliza como acceso a las telecomunicaciones, control de red, situacin general de los ordenadores de entornos de base que soportan aplicaciones crticas y consideraciones relativas a la seguridad de la red. Configuracin del ordenador base: Configuracin del soporte fsico, en torno del sistema operativo, software con particiones, entornos( pruebas y real ), bibliotecas de programas y conjunto de datos. Entorno de aplicaciones: Procesos de transacciones, sistemas de gestin de base de datos y entornos de procesos distribuidos. Productos y herramientas: Software para desarrollo de programas, software de gestin de bibliotecas y para operaciones automticas. Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro e informacin, integridad del sistema, controles de supervisin, etc. Para la implantacin de un sistema de controles internos informticos habr que definir: Gestin de sistema de informacin: polticas, pautas y normas tcnicas que sirvan de base para el diseo y la implantacin de los sistemas de informacin y de los controles correspondientes. Administracin de sistemas: Controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administracin de las redes. Seguridad: incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad. Gestin del cambio: separacin de las pruebas y la produccin a nivel del software y controles de procedimientos para la migracin de programas software aprobados y probados.
Pgina 22
Pgina 23
Por consiguiente tenemos lo siguientes tipos de controles internos Control interno de la funcin informtica: Control interno del desarrollo de sistemas: Control interno de la operacin Control interno de la seguridad informtica Control interno de los recursos informticos Control interno de las redes y comunicacin.
Pgina 24
Datos de Identificacin: Alumno Grupo Ev02: Control interno Evidencia Auditoria Informtica I Asignatura I: Introduccin a la auditoria informtica Bloque Evala M.C. Gabriel Huesca Aguilar
Criterios
Escala de 0 a 10 Presentacin en Microsoft Power point 2007 en adelante Presenta mrgenes adecuados, pie de pgina, orientacin de la hoja, formato a fuentes, imgenes, grficos, ortografa, formatos para el control. La explicacin es clara, sencilla y responde a las preguntas de sus compaeros. La informacin tiene estructura adecuada. Explica claramente el control investigado Utiliza la creatividad Los compaeros de grupo opinan que es buena. El da que se pide
Presentacin
Pgina 25
El auditor3
Introduccin
El auditor es aquella persona que lleva a cabo una auditoria capacitado con conocimientos necesarios para evaluar la eficacia de una empresa a la vez de poseer Una tica profesional y una responsabilidad hacia los clientes y colegas con el fin de prestarle un mejor servicio en el campo en que se desempea e integridad de la informacin de los mtodos empleados para identificar, medir, clasificar y reportar dicha informacin. El auditor debe revisar los sistemas establecidos para asegurarse del cumplimiento de las polticas, planes y procedimientos, leyes y reglamentos que pueden tener de impacto significativo en las operaciones e informes y deben determinar si la organizacin cumple con ellos. As mismos son responsables de determinar si los sistemas son adecuados y efectivos y si las actividades auditadas estn cumpliendo con los requerimientos apropiados. Tambin deben revisar las operaciones o programas para cerciorarse si los resultados son consistentes con los objetivos y metas establecidas y si las operaciones o programas se llevan a cabo como se planearon. El Auditor Es aquella persona que lleva a cabo una auditoria, capacitado con conocimiento necesario para evaluar la eficacia de una empresa. El auditor debe reunir, para el buen desempeo de su profesin caractersticas como: slida cultura general, conocimiento tcnico, actualizacin permanente, capacidad para trabajar en equipo multidisciplinario, creatividad, independencia, mentalidad y visin integradora, objetividad, responsabilidad, entre otras. Adems de esto, este profesional debe tener una formacin integral y progresiva. tica Profesional La tica profesional del auditor, se refiere a la responsabilidad del mismo para con el pblico, hacia los clientes y colegas y los niveles de conducta mximos y mnimos que debe poseer. A tal fin, existen cinco (5) conceptos generales, llamados tambin Principios de tica las cuales son: Independencia, integridad y objetividad. Normas generales y tcnicas. Responsabilidades con los clientes. Responsabilidades con los colegas. Independencia, integridad y objetividad: El auditor debe conservar la integridad y la objetividad y, cuando ejerce la contadura pblica, ser independiente de aquellos a quienes sirve. Los conceptos de la tica profesional, seccin ET 52-02 define la independencia como: La capacidad para actuar con integridad y objetividad. Objetividad es la posibilidad de mantener una actitud en todas las cuestiones sometidas a la revisin del auditor. El auditor debe expresar su opinin imparcialmente, en atencin a hechos reales comprobables, segn su propio criterio y con perfecta autonoma y, para tal fin, estar desligado a todo vnculo con los dueos, administradores e intereses de la empresa u organizacin que audite. Su independencia mental y su imparcialidad de criterio y de opinin deben serlo, no solamente de hecho, sino en cuanto a las apariencias tambin, por lo cual el auditor debe evitar cualquier entredicho que lo pueda vincular a situaciones que permitan dudar de tales cualidades.
http://www.monografias.com/trabajos33/auditor/auditor.shtml
Pgina 26
Pgina 28
Pgina 29
Pgina 30
Pgina 32
Fecha: ___/____/201___
Pgina 34
Fecha: ___/____/201___
Pgina 35
En el Bloque II se aplican las competencias adquiridas anteriormente para definir las etapas de la planeacin de una auditora informtica y su importancia para su posterior aplicacin con profesionalismo y objetividad.
Pgina 36
Planeando un evento
Los alumnos de la licenciatura en informtica necesitan demostrar que saben planear un evento por lo que deben entregar dicha planeacin en la siguiente clase.
Instrucciones: En equipo de 5 personas analiza la situacin planteada y expresa en forma escrita lo que deberas conocer para resolver esta situacin, de manera que esta te ayude para elaborar una planeacin y una reflexin en la cual respondas a las siguientes preguntas: 1. Han participado todos en el trabajo? 2. Qu problemas se han presentado para organizarse? 3. Ha existido moderador y/o secretario en el grupo? Cmo se le escogi? 4. Qu funciones ha desempeado cada uno? 5. Con qu mtodo se procedi en el trabajo? 6. De qu medios se han servido para ser ms rpidos? 7. Qu hizo que el grupo fuera ms lento? Qu dificult el trabajo? 8. Cmo se pudo haber hecho para aumentar la rapidez? 9. Qu importancia tiene la planeacin de las actividades? 10. Qu recomendaciones haran a otros equipos para llevar a cabo dicha planeacin?
Pgina 37
http://www.mitecnologico.com/Main/FasesAuditoriaInformatica (24/Enero/2012)
Pgina 38
Tipos Interna: Aplicada con el personal que labora en la empresa. Externa: Se contrata a una firma especializada para realizar la misma. Auditora Informtica Externa Las empresas recurren a la auditora externa cuando existen: Sntomas de Descoordinacin Sntomas de Mala Imagen Informtica II. Decanato de Administracin y Contadura Sntomas de Debilidades Econmicas Sntomas de Inseguridad Aspectos Fundamentales en la Auditora de los Sistemas de Informacin Informtica II. Decanato de Administracin y Contadura Auditora Informtica de Desarrollo de Aplicaciones Cada una de las fases del desarrollo de las nuevas aplicaciones informticas deben ser sometidas a un minucioso control, a fin de evitar un aumento significativo de los costos, as como tambin insatisfaccin de los usuarios. Informtica II. Decanato de Administracin y Contadura Auditora de los Datos de Entrada Se analizar la captura de la informacin en soporte compatible con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta transmisin de datos entre entornos diferentes. Se verificar que los controles de integridad y calidad de datos se realizan de acuerdo a las Normas establecidas. Auditora Informtica de Sistemas Se audita: Informtica II. Decanato de Administracin y Contadura Sistema Operativo: Verificar si la versin instalada permite el total funcionamiento del software que sobre ella se instala, si no es as determinar la causa Software de Aplicacin: Determinar el uso de las aplicaciones instaladas. Comunicaciones: Verificar que el uso y el rendimiento de la red sea el ms adecuado. Tcnicas de Auditora Existen varias tcnicas de Auditora Informtica de Sistemas, entre las cuales se mencionan: Lotes de Prueba: Transacciones simuladas que se introducen al Sistema a fin de verificar el funcionamiento del mismo. Entre los datos que se deben incluir en una prueba se tienen: Datos de Excepcin. Datos Ilgicos. Transacciones Errneas Auditora para el Computador: Permite determinar si el uso de los equipos de computacin es el idneo. Mediante esta tcnica, se detectan equipos sobre y subutilizados. Prueba de Minicompaa: Revisiones peridicas que se realizan a los Sistemas a fin de determinar nuevas necesidades. Peligros Informticos Incendios: Los recursos informticos son muy sensibles a los incendios, como por ejemplo reportes impresos, cintas, discos. Inundaciones: Se recomienda que el Departamento de computacin se encuentre en un nivel alto. La Planta Baja y el Stano son lugares propensos a las inundaciones. Robos: Fuga de la informacin confidencial de la empresa. Fraudes: Modificaciones de los datos dependiendo de intereses particulares. Medidas de Contingencia Mecanismos utilizados para contrarrestar la prdida o daos de la informacin, bien sea intencionales o accidentales. La ms utilizada es la Copia de Seguridad (Backup), en la cual se respalda la informa- cin generada en la empresa . Informtica II. Decanato de Administracin y Contadura
Pgina 40
Pgina 41
Pgina 45
Instrucciones: Despus de haber participado en la lluvia de ideas sobre la planeacin de la Auditoria Informtica y realizar la lectura anterior completa lo siguiente:
Concepto de planeacin:
Instrucciones: Realiza la lectura anterior y menciona ampliamente cual es el propsito de cada una de las fases de la planeacin de una auditora.
Pgina 46
Pgina 47
Domicilio:
Pgina 48
En esta fase el auditor debe de armarse de un conocimiento amplio del rea que va a auditar, los objetivos que debe cumplir, tiempos (una empresa no pude dejar sus equipos y personal que lo opera sin trabajar porque esto le genera prdidas sustanciosas), herramientas y conocimientos previos, as como de crear su equipo de auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria. Instrucciones: A continuacin vamos a elaborar la revisin preliminar contestando las siguientes preguntas y realizando lo indicado. 1. 2. 3. 4. 5. Cules son los objetivos de la auditoria a realizar? Existe algn rea especfica que necesita auditoria? De cunto tiempo se dispone para realizar la auditoria informtica? Realiza un anlisis de tareas importantes y esenciales para la auditoria. Recopila la informacin para obtener una visin general del departamento de Administracin por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento. 6. Elabora los formatos necesarios para recopilar informacin (utilizando diferentes tcnicas para llevarlo a cabo).
Pgina 49
Los objetos de la fase detallada son los de obtener la informacin necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del rea de informtica. El auditor debe de decidir se debe continuar elaborando pruebas de consentimiento, con la esperanza de obtener mayor confianza por medio del sistema de control interno, o proceder directamente a revisin con los usuarios (pruebas compensatorias) o a las pruebas sustantivas. Instrucciones: A continuacin vamos a elaborar la revisin detallada realizando las siguientes actividades. 1. Realiza el organigrama de la empresa que vas a auditar 2. Realiza el organigrama del depto. de informtica en la empresa que vas a auditar. 3. Investiga las relaciones Jerrquicas y funcionales entre rganos de la Organizacin y nmero de personas por puesto de trabajo. 4. Organiza y reconoce los flujos de Informacin en la empresa auditada. 5. Realiza un desglose de tiempos para cada fase de la auditoria informtica 6. Especifica las tareas de cada auditor en el rea correspondiente y los tiempos necesarios para realizarlos. 7. Realiza un anlisis de tareas importantes y esenciales para la auditoria. 8. Elabora el acta de inicio de la auditoria de acuerdo a lo establecido en el documento Gua de auditora (Anexo02) en la siguiente direccin electrnica: http://www.funcionpublica.gob.mx/pt/obligaciones_transparencia_art_7/sfp/doctos/guia _auditoria.pdf 9. Elabora el acta de planeacin de la auditoria (pgina 22) 10. Elabora el cronograma de actividades. (pgina 26)
Pgina 50
La Auditoria Fsica no se limita a comparar solo la existencia de los medios fsicos, sino tambin su funcionalidad, racionalidad y seguridad. La seguridad fsica garantiza la integridad de los activos humanos, lgicos y materiales del Objeto a analizar. Instrucciones: A continuacin vamos a elaborar la planeacin de la esta fase realizando las siguientes actividades. 2. Elabora un formato para verificar las instalaciones de la empresa donde estas llevando la auditoria, incluyendo entre estos (Direccin fsica, ubicacin en el mapa, edificios que le rodea por los 4 puntos cardinales, etc). 3. Elabora un formato para verificar la distribucin de los departamentos. 4. Elabora un formato para verificar el equipo de seguridad con los que cuenta tales como botiquines, extinguidores, luces de emergencia etc. 5. Elabora un formato para verificar la sealizacin con la que cuenta la empresa auditada tales como: direcciones de salida, emergencia, escape, riesgo elctrico, zona de evacuacin etc. 6. Identifica los formatos de inventario fsico, de recursos informticos y de aplicaciones en la organizacin seleccionada.
Pgina 51
En este bloque se utilizan tcnicas de recopilacin de informacin para que permitan dar al auditor informacin de apoyo de cada rea que sea objeto de la auditoria y Evaluar la evidencia recabada durante la auditoria con el fin de elaborar un dictamen sobre las vulnerabilidades y fortalezas detectadas y presentar recomendaciones de una manera profesional, objetiva y honesta.
M.C. Gabriel Huesca Aguilar Pgina 52
Las organizaciones son entes complejos que requieren un ordenamiento jerrquico que especifique la funcin que cada uno debe ejecutar en la empresa. Por ello la funcionalidad de sta, recae en la buena estructuracin del organigrama, el cual indica la lnea de autoridad y responsabilidad, as como tambin los canales de comunicacin y supervisin que acoplan las diversas partes de un componente organizacional. Instrucciones: Con la planeacin realizada en el bloque II, realiza lo que a continuacin se te indica sobre la auditoria informtica en la organizacin elegida. 1. Utilizando algn programa para elaborar organigramas 2. Elabora el organigrama de la empresa auditada (este organigrama ya lo tienes en la planeacin) y gurdalo con el nombre de OrgEmpresa sin olvidar la nomenclatura establecida. 3. Realiza el organigrama del departamento de informtica y gurdalo con el nombre de OrgInformatica sin olvidar la nomenclatura establecida. 4. Realiza el organigrama del equipo de auditores y gurdalo con el nombre de OrgAuditores sin olvidar la nomenclatura establecida. 5. Enva por correo los tres archivos con el asunto AuditoriaI.Nomenclatura.Organigramas 6. Guarda los archivos en tu memoria.
Pgina 53
La auditoria de recursos humanos puede definirse como el anlisis de las polticas y prcticas de personal de una empresa y la evaluacin de su funcionamiento actual, seguida de sugerencias para mejorar. El propsito principal de la auditoria de recursos humanos es mostrar cmo est funcionado el programa, localizando prcticas y condiciones que son perjudiciales para la empresa o que no estn justificando su costo, o prcticas y condiciones que deben incrementarse. El sistema de administracin de recursos humanos necesita patrones capaces de permitir una continua evaluacin y control sistemtico de su funcionamiento. Instrucciones: A continuacin vamos a elaborar la Evaluacin de los recursos humanos realizando las siguientes actividades. 1. Existe una organizacin de los recursos humanos. 2. Elabora el organigrama del depto. de Recursos humanos en la empresa que vas a auditar. 3. Investiga las relaciones Jerrquicas y funcionales entre rganos de la Organizacin y nmero de personas por puesto de trabajo. 4. Organiza y reconoce la informacin obtenida en el desarrollo de la auditoria al departamento de RH 5. Preguntar si existe una descripcin de puestos 6. Existen controles adicionales en RH 7. Existe presupuesto para llevar a cabo la auditoria y para realizar mejoras
Pgina 54
La Auditoria Fsica no se limita a comparar solo la existencia de los medios fsicos, sino tambin su funcionalidad, racionalidad y seguridad. La seguridad fsica garantiza la integridad de los activos humanos, lgicos y materiales del Objeto a analizar. Instrucciones: A continuacin vamos a elaborar la Auditoria fsica realizando las siguientes actividades. 1. Completa un formato que verifique las instalaciones de la empresa donde estas llevando la auditoria, incluyendo entre estos (Direccin fsica, ubicacin en el mapa, edificios que le rodea por los 4 puntos cardinales, etc). 2. Completa un formato que verifique la distribucin de los departamentos. 3. Completa un formato que verifique el equipo de seguridad con los que cuenta tales como botiquines, extinguidores, luces de emergencia etc. 4. Completa un formato que verifique la sealizacin con la que cuenta la empresa auditada tales como: direcciones de salida, emergencia, escape, riesgo elctrico, zona de evacuacin etc. 5. Lleva a cabo el inventario de Equipo de cmputo con el que cuenta la empresa identificando las caractersticas importantes para resolver cualquier duda en el ejercicio.
Pgina 55
Instrucciones: A continuacin vamos a elaborar la Evaluacin de Auditoria fsica realizando las siguientes actividades. 1. Escribe en Microsoft Office 2007 la auditora realizada en el ejercicio EC13. 2. Elabora una lista de puntos fuertes de la empresa auditada en referencia al inventario fsico levantado en el ejercicio EC13 3. Elabora una lista de puntos dbiles de la empresa auditada en referencia al inventario fsico levantado en el ejercicio EC13 4. Elabora una propuesta de solucin para los puntos dbiles indicando (caractersticas, tiempos, costo, beneficios y consecuencias). 5. Elabora un control automtico para utilizar la informacin que recabaste en la empresa auditada de manera que puedas ubicar cualquier computadora. 6. Captura el proceso del seguimiento que se le da al equipo informtico en la empresa auditada. 7. Elabora una opinin fundamentada acerca de la evaluacin fsica.
Pgina 56
Instrucciones: Para este ejercicio debers haber realizado el inventario de las aplicaciones existentes en la empresa auditada utilizando los formatos elaborados en la planeacin de la auditoria. 1. Captura el inventario de las aplicaciones especficas y de ofimtica existente en la empresa auditada. 2. Elabora una lista de puntos fuertes de la empresa auditada en referencia al inventario de aplicaciones realizado en la empresa auditada 3. Elabora una lista de puntos dbiles de la empresa auditada en referencia al inventario de aplicaciones realizado en la empresa auditada 4. Elabora una propuesta de solucin para los puntos dbiles indicando (caractersticas, tiempos, costo, beneficios y consecuencias) 5. Elabora una opinin fundamentada acerca de la evaluacin de aplicaciones.
Pgina 57
Instrucciones: Para realizar la auditoria de redes y comunicacin toma en cuenta lo siguiente: Definicin: Serie de mecanismos mediante los cuales se pone a prueba una red informtica evaluando su desempeo y seguridad a fin de lograr una utilizacin ms eficiente y segura de la informacin. Qu auditamos? Proteccin a los cables y puntos de conexin para evitar fallas, Revisiones peridicas en la red (buscando fallas), Equipo de prueba de comunicaciones y alternativas de respaldos. Contraseas de acceso, registro de actividades en la red y cifrado de datos, accesos a servidores remotos, Herramientas para el monitoreo de la red .
Instrucciones: Para este ejercicio debers haber realizado la auditoria de las redes y comunicacin de datos existentes en la empresa auditada utilizando los formatos elaborados en la planeacin de la auditoria. 1. Entra a la direccin: http://www.monografias.com/trabajos10/auap/auap.shtml y realiza una lectura en donde comprendas la importancia y procedimiento para realizar este tipo de auditora 2. Captura la informacin auditada en cuanto a redes y comunicacin existente en la empresa auditada. 3. Elabora una lista de puntos fuertes de la empresa auditada en referencia a las redes y comunicacin existente en la empresa auditada. 4. Elabora una lista de puntos dbiles de la empresa auditada en referencia a las redes y comunicacin existente en la empresa auditada. 5. Elabora una propuesta de solucin para los puntos dbiles indicando (caractersticas, tiempos, costo, beneficios y consecuencias) 6. Elabora una opinin fundamentada acerca de la evaluacin de la red y sus puntos de conexin y comunicacin.
Pgina 58
Instrucciones: Para realizar la auditoria de la seguridad informtica toma en cuenta lo siguiente: Definicin: La Seguridad Informtica es el conjunto de reglas, planes y acciones que permiten asegurar la informacin contenida en un sistema de la informacin. Qu auditamos? Por una parte se debe contemplar la proteccin del hardware y los soportes de datos, as como la seguridad de los edificios e instalaciones que los albergan. El auditor informtico debe contemplar situaciones de incendios, inundaciones, sabotajes, robos, catstrofes naturales, etc. Por su parte, la seguridad lgica se refiere a la seguridad en el uso de software, la proteccin de los datos, procesos y programas, as como la del acceso ordenado y autorizado de los usuarios a la informacin. El auditar la seguridad de los sistemas, tambin implica que se debe tener cuidado que no existan copias piratas, o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisin de virus. Procesos para encriptar la informacin, la importacin y exportacin de datos, Inhabilitar el software o hardware con acceso libre y Polticas que prohban la instalacin de programas o equipos personales en la red. Instrucciones: Para este ejercicio debers haber realizado la auditoria a la seguridad de los datos e informacin existentes en la empresa auditada utilizando los formatos elaborados en la planeacin de la auditoria. 1. Captura la informacin auditada en cuanto a la seguridad informtica existente en la empresa auditada. 2. Elabora una lista de puntos fuertes de la empresa auditada en referencia a las redes y comunicacin existente en la empresa auditada. 3. Elabora una lista de puntos dbiles de la empresa auditada en referencia a las redes y comunicacin existente en la empresa auditada. 4. Elabora una propuesta de solucin para los puntos dbiles indicando (caractersticas, tiempos, costo, beneficios y consecuencias) 5. Elabora una opinin fundamentada acerca de la evaluacin de la red y sus puntos de conexin y comunicacin. Encriptar la informacin pertinente. Evitar la importacin y exportacin de datos Inhabilitar el software o hardware con acceso libre Crear protocolos con deteccin de errores El software de comunicacin ha de tener procedimiento correctivos y de control ante mensajes duplicados, fuera de orden o retrasados. Polticas que prohban la instalacin de programas o equipos personales en la red. Firewall
Pgina 59
Pgina 60
Pgina 61
Pgina 62
ANEXOS
Pgina 63
Pgina 64