AUDITORIA DE SISTEMAS
Enviado por milacc • 22 de Noviembre de 2014 • Tesis • 4.653 Palabras (19 Páginas) • 205 Visitas
AUDITORIA DE SISTEMAS
1. PLAN DE AUDITORIA
1.1. ORIGEN DE AUDITORIA:
La presente Auditoria se realiza en cumplimiento del Plan Nacional de Control 2013 del Sistema Nacional de Control. Publicado 11/01/2013
1.2. OBJETIVOS Y ALCANCE
1.2.1. OBJETIVO GENERAL
Revisar y evaluar los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, dela organización que participan en el procesamiento dela información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma decisiones.
1.2.2. OBJETIVOS ESPECIFICOS
Evaluar el diseño y prueba de los sistemas del área informática. Para evitar el acceso ilícito al sistema informático
Determinar la veracidad de la información obtenida del sistema, evaluando los controles de seguridad.
Identificar si el sistema cuenta con un programa que garantice la protección de los datos
evaluar la efectividad de las modalidades detección para identificar los responsables ante un fraude informático.
Evaluar la forma como se administran los dispositivos de almacenamiento básico de área de informática.
evaluar los mecanismos para evitar la suplantación de identidad
1.3 ALCANCE
La auditoría se realizará sobre los sistemas informáticos en computadoras personales que estén conectados a la red interna de la empresa.
1.4 CRITERIO
Se tomara como referencia la “LA LEY QUE MODIFICA LA LEY 30096, LEY SW SWLITOS INFORMATICOS” LEY 30171
1.5 RECURSOS
El número de personas que integraran el equipo de auditoria sera de tres, con un tiempo maximo de ejecucion de 3 a 4 semanas.
1.4 UNIDADES ORGANIZACIONALES A AUDITAR
- Área de sistemas e informática
-Área Operativa.
ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO
• Esta fase constituye el inicio de la planeación, aunque sea preparada con anterioridad; sus resultados son los que generan la verdadera orientación de las subsiguientes fases del proceso, sin ser excluyentes, se deben considerar los siguientes aspectos:
• GESTION ADMINISTRATIVA:
Conocer y analizar las operaciones a las cuales se dedica el negocio y la forma en que está estructurado tanto desde del punto de vista organizacional y administrativo, así como el organigrama, número y distribución de empleados, sistema interno de autorizaciones, firmas, formularios utilizados, secuencia de operaciones y otros aspectos similares que se realizan con la utilización del sistema informático.
2- Verificar si se ha diseñado un manual de organización y funciones a ser aplicado a los y por los usuarios del área de informática.
3- Verificar si las contrataciones del personal del área de informática se han realizado con base a los criterios establecidos en el manual de funciones y cumplen el perfil del puesto.
4- Verificar si la administración provee oportunamente los recursos necesarios para la adquisición del software actualizado para la protección de los sistemas informáticos.
5- Verificar si la administración promueve la capacitación y adiestramiento constante del personal del área de informática.
6- Verificar si la administración ha establecido políticas claras con respecto a la adjudicación de claves de acceso a las bases de datos.
7- Verificar que las instalaciones donde labora el personal del área de informática estén adecuadas a las necesidades y no representen peligro para los empleados.
GESTION INFORMATICA:
1) Examinar la información preliminar correspondiente al área de informática, la cual puede ser:
a) Interna: conocer los procesos que se realizan dentro de la empresa para los cuales es utilizado el equipo informático. Se verificará si se lleva un control de las operaciones realizadas y si queda un registro de los usuarios del área de informática y los horarios en los cuales, han utilizado el equipo del centro. También se solicitará información correspondiente a si se ha realizado en otras ocasiones auditorías al sistema informático.
b) Externa: Conocimiento e identificación de los usuarios del área de informática, así como de los proveedores de materiales y accesorios y otros clientes.
2) Conocimiento de las instalaciones físicas del negocio, materiales, mobiliario, inmuebles, equipos, inventarios y otros que tienen relación al área de informática y la ubicación de sucursales, en caso de que también utilicen dicho sistema.
3) Verificar si los programas utilizados dentro de la entidad han sido diseñados específicamente para
La empresa y hasta que punto estos programas son operativos y satisfacen las necesidades de la entidad.
4) Naturaleza y tratamiento de las operaciones realizadas por medio de los sistemas informáticos
. 5) Cualquier otro punto de conocimiento general, que contribuya a orientar adecuadamente la auditoria de sistemas informáticos.
6) Verificar si todo el equipo o hardware se encuentra debidamente inventariado y se ha elaborado la respectiva tarjeta de depreciación del mismo, a fin de que en el momento en que se vuelvan obsoletos se puedan dar de baja.
7) Verificar por medio de pruebas si los sistemas funcionan correctamente, para ello será necesario contratar a un perito programador, para que efectue las pruebas correspondientes.
8) Verificar si el software tiene las licencias correspondientes.
9) Verificar quienes están autorizados para realizar modificaciones a los sistemas informáticos y quien autoriza cada una de estas modificaciones. 10) En el caso de que haya alguien de nivel superior que autorice los cambios y modificaciones a los sistemas informáticos, verificar si existe algún documento escrito por medio del cual se autoricen dichas modificaciones o si las ordenes se efectuan solamente de manera verbal. 11)
En el caso d
e que exista el registo de las solicitudes de cambios mencionados en el punto anterior, realizar pruebas en el sistema para verificar que se hayan realizado correctamente y que respondan a la solicitud de la gerencia o de quien lo haya autorizado. 12) Verificar quien es el responsable de autorizar los niveles de jerarquía y niveles de acceso a utilizar dentro del sistema y si existe algún registro escrito por medio del cual se hayan emitido dichas autorizaciones. 13) Verificar si en la entidad se han establecido políticas con respecto a la creación de responsable.
• B) CUESTIONARIO En segundo lugar, los procedimientos se documentarán a través de la preelaboración de preguntas, contestadas
...