Universidad Mariano Gálvez Planeación de Auditoria de Informática al Proyecto Caritas de la Diócesis de San Marcos
Curso: Auditoria de Sistemas Cat.: Lic. Otoniel Sánchez Gómez Ciclo: Décimo Segundo Semestre
Contenido PLANEACIÓN DE LA AUDITORIA ............................................................................................ 2 Justificación ................................................................................................................................ 3 Alcance: ........................................................................................................................................ 4 Tipo de Auditoria a Realizar: ................................................................................................. 5 Auditoría Externa: ................................................................................................................. 5 Herramientas .............................................................................................................................. 6 Perfil del auditor informático ................................................................................................. 6 Funciones................................................................................................................................. 7 Metodologías de auditoría informática ............................................................................... 8 Metodologías Generales ....................................................................................................... 8 Metodologías Específicas .................................................................................................... 8 Metodología a Utilizar en el Proyecto: ................................................................................. 8 Esquema General De Desarrollo De Auditoria .............................................................. 10
Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos
1
PLANEACIÓN DE LA AUDITORIA
Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos
2
Justificación La inversión que cada institución realizar para automatizar sus procesos y realizar el mantenimiento de los mismos tiene que estar debidamente respaldada y justificada, en el desarrollo de sus actividades es importante poder tener procedimientos que garanticen la funcionalidad de sus sistemas, datos y equipos. De la misma manera la Diócesis de San Marcos en su proyecto de Pastoral Social cuenta con equipos de cómputo los cuales le permiten realizar sus actividades para beneficio de las personas a las cuales están destinadas. El proyecto que se emprende se realiza con el objetivo de poner en práctica los conocimientos que se han adquirido por parte de los Estudiantes de la Universidad Mariano Gálvez de Guatemala, del centro de San Pedro Sac, San Marcos, en la carrera de Ingeniería en Sistemas de Información y Ciencias de la Computación del Décimo Segundo Semestre en el Curso de Auditoria de Sistemas para evaluar el nivel de aprendizaje de los conceptos y así mismo realizarlo en un la Diócesis de San Marcos, lo cual tendrá como objetivo la detección de desviaciones y anomalías para poder dictaminar sobre ellas y generar alternativas de solución a los conflictos o problemas detectados.
Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos
3
Alcance: El alcance para el presente proyecto estará enfocado a la evaluación de las siguientes dependencias de la Diócesis de San Marcos.
Pastoral Social Administración Caritas Secretaria Caritas Agricultura Caritas Salud Caritas Alimentos Caritas Organización Social
Básicamente se evaluarán estas oficinas debido a que tienen relación en los proyectos que administran ya que pertenecen al área de Pastoral Social en el Proyecto Caritas. Es importante mencionar que la Diócesis de San Marcos cuenta con más dependencias pero a raíz de que el evaluar todas llevaría demasiado tiempo y este proyecto es estudiantil se priorizan estas oficinas y dependencias que desean participar en el proyecto y colaborar con la información que sea necesaria. Nota: En el proyecto REMHI únicamente se evaluará el sistema de redes debido a que en esta oficina se localizan los equipos de comunicaciones para la red del proyecto Caritas, es por ello que se tomará en cuenta dentro de la evaluación pero únicamente en el aspecto de acceso a la evaluación de equipos.
Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos
4
Tipo de Auditoria a Realizar: Auditoría Externa:
Como se ha mencionado anteriormente la auditoria de sistemas computacionales al proyecto Caritas y sus dependencias de la Pastoral Social de la Diócesis de San Marcos se realiza por parte de los estudiantes de la Universidad Mariano Gálvez de Guatemala de la carrera de Ingeniería en Sistemas de Información del Décimo Segundo Semestre en el curso de Auditoria de Sistemas los cuales no cuentan con ninguna relación de subordinación con el proyecto Caritas se tornará en una auditoría externa a los activos de información El objeto de esta auditoría es poder evaluar de forma independiente y de manera profesional sobre los activos informáticos del proyecto Caritas, tomando en cuenta que las principales características de este tipo de auditoría son las siguientes:
Permite: Utilizar libre albedrio para; Aplicar métodos – técnicas y herramientas. Para evaluar las actividades El resultado será absolutamente independiente.
Dentro de sus principales ventajas están las siguientes El trabajo es totalmente independiente. Libre de injerencias de parte de las autoridades de la empresa auditada. Por ser empresas especializadas cuenta con personal con mucha experiencia También es importante mencionar las desventajas de este tipo de auditoría que son las siguientes:
La mayor es que el auditor conoce poco la empresa. Depende de los empleados auditados para realizar su trabajo. Su evaluación, alcances pueden ser limitados. El ambiente es hostil hacia el auditor. *El costo para la empresa es oneroso.
Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos
5
Como se puede observar dentro de las limitantes de la auditoría externa las principales es el desconocimiento del auditor de la empresa y la dependencia que se tiene de los empleados o personal auditado para realizar el trabajo por lo cual puede verse afectada por intereses del personal involucrado dentro del proyecto y este tendría como consecuencia que la evaluación no sea lo eficaz y eficiente que se desea. Es por ello que se solicitará la participación profesional de cada una de las personas involucradas en el proyecto, tanto los ejecutores como los colaboradores de cada uno de las dependencias del proyecto Caritas. Otro aspecto importante es el costo que la auditoría externa puede tener para la empresa que se audita en concepto de honorarios y otros, para este caso el costo es básicamente el tiempo que se invierta en la realización de las diversas actividades y la colaboración ya que por la naturaleza de la auditoria de carácter estudiantil no tendrá ningún costo financiero para la Diócesis de San Marcos.
Herramientas Las herramientas para realizar un proceso de auditoría informática son las siguientes:
Cuestionario (Check list). Entrevistas Encuestas Estándares. (Software, hardware, etc.) Paquetes de auditoría. Matrices de riesgo. (CRAMM) Formatos de presentación de informes
Perfil del auditor informático La persona que realice auditoria informática debe ser Ingeniero en sistemas con experiencia en: Desarrollo y explotación de Proyectos informáticos en software y / o hardware. Conocer las metodologías de desarrollo de software. Conocimientos en redes y comunicaciones. Conocer metodologías de auditoría informática. Conocimientos en Sistemas Operativos Conocimientos en Software de aplicaciones Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos
6
Conocimiento en Herramientas de recolección de fuentes primarias y secundarias de información
Funciones
Las funciones de análisis y revisión que el auditor informático realiza, puede chocar con la psicología del auditado, ya que es un informático y tiene la necesidad de realizar sus tareas con racionalidad y eficiencia. La reticencia del auditado es comprensible y, en ocasiones, fundada. El nivel técnico del auditor es a veces insuficiente, dada la gran complejidad de los Sistemas, unidos a los plazos demasiado breves de los que suelen disponer para realizar su tarea. Dentro de las principales funciones para el auditor de sistemas para el proyecto de la evaluación de Caritas Diocesana son las siguientes:
Realizar la solicitud formal para ejecutar el proyecto Realizar una visita preliminar para evaluación de Caritas Diocesana Elaboración de planes, programas y presupuestos del proyecto Elaboración del Plan de Auditoria Establecimiento de mecanismos de evaluación Ejecución del proceso de evaluación de la auditoria Chequeo de los Sistemas, el auditor somete al auditado a una serie de cuestionarios. Utilización de Herramientas tecnológicas para realizar la auditoria Planeación y ejecución de herramientas de recolección de información Diseño de Formatos y otros documentos Redacción de informe preliminar de hallazgos Elaboración de dictamen de forma profesional, confiable y veraz. Presentación de resultados a las personas indicadas Sustentar sus resultados con evidencias comprobables.
Funciones del personal del Proyecto Caritas: Colaborar con la información que se le sea solicitada Participar en las entrevistas, cuestionarios y encuestas que se ejecuten Participar activamente en las inspecciones a realizar Brindar diversos puntos de vista que faciliten y optimicen la ejecución de la auditoria.
Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos
7
Metodologías de auditoría informática Existen algunas metodologías de Auditoría informática y todas depende del alcance de lo que se pretenda revisar o analizar y que proceso informático se va a auditar, además las metodologías para auditoria informática, en su gran mayoría, tienen procedimientos y tareas parecidos. Para dar una clasificación de las auditorias informáticas diremos que son de dos tipos: Generales. Específicas. Metodologías Generales
Las metodologías generales permiten dar una opinión sobre la fiabilidad de la información, el resultado de esta metodología es un informe generalizado donde se destacan las vulnerabilidades encontradas. Es importante conocer que este tipo de auditoría tiene como material de trabajo los check list, (cuestionarios), entre otras que permiten anotar observaciones que ayudan a conservar un banco importante de pruebas sobre hallazgos. Metodologías Específicas
Las metodologías especificas son aquellas que el auditor interno o externo “crea” para su uso son más específicas y exhaustivas, ya que sirve para evaluar un área en particular, al igual que la anterior metodología sus informes permiten el registro de observaciones.
Metodología a Utilizar en el Proyecto: Evaluando las diversas metodologías de auditoría de sistemas existentes se aplicará la metodología que propone Carlos Muñoz Razo en su libro Auditorias Computacionales en su primera edición. La cual nos presenta las siguientes actividades estructurales dentro del proceso de auditoría.
Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos
8
La metodología de Auditoria de sistemas de Carlos Muñoz Razo indica 3 actividades fundamentales que son las siguientes: Planeación de la Auditoria Ejecución de la Auditoria Dictaminar la Auditoria. A continuación se detallan cada una de las actividades principales con su sub-clasificación: Etapa de Planeación: Identificación del Origen de la Auditoria Realizar una visita Preliminar Establecer los Objetivos Determinar los puntos que serán evaluados Elaborar planes, programas, presupuestos Identificar y seleccionar herramientas, procedimientos Asignar recursos
métodos,
técnicas
y
Etapa de Ejecución: Realizar las acciones programadas Aplicar Instrumentos y Herramientas Identificar y documentar desviaciones encontradas Elaborar dictamen preliminar y discutirlo Integrar papeles de Trabajo de Auditoria Etapa de Dictamen: Analizar la información de la auditoria Elaborar el Dictamen Final Presentar el informe de auditoria Dicha metodología será auxiliada con el metodología de Auditoria de Sistemas de José Antonio Echenique en su libro “Auditoría en Informática” en su segunda edición, para complementar algunos puntos a evaluar.
Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos
9
Esquema General De Desarrollo De Auditoria 1. 2. 3. 4. 5. 6.
Identificar el origen de la auditoria Realizar una Revisión preliminar Carta de Presentación de Auditoria Caratula Tabla de Contenidos Objetivos a. Generales b. Particulares c. Específicos 7. Introducción 8. Presentación 9. Planeación de la Auditoria: (Plan de auditoría) a. Cronograma general de actividades i. Elaboración de Graficas de Gantt b. Establecimiento de objetivos de la auditoria a corto y largo plazo c. Establecimiento del alcance de la auditoria d. Determinación de recursos necesarios e. Establecimiento de metas de la auditoria f. Programas de trabajo de la auditoria g. Seleccionar Herramientas que serán utilizadas para la realización de actividades h. Presupuestos General de auditoria i. Control de Costos y ejecución de la auditoria j. Desarrollo de la propuesta de servicios de Auditoria k. Aceptación de la Propuesta de Servicios de Auditoria con los clientes 10. Revisión Preliminar de la auditoria a. Ejecutar la Visitas Preliminares b. Contactar a los interesados c. Recolección de Evidencias i. Inspección preliminar del área a auditar ii. Identificar áreas de problemática iii. Entrevista al personal del área a auditar iv. Observación de las actividades del área a auditar v. Revisión documental preliminar. Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos
10
11. a.
12. a. b. c. d. e. f. 13. a. b. c. 14. a. b. c. d.
vi. Documentación formal de las observaciones y otros aspectos de esta etapa Revisión Detallada. Revisión Detallada de la Auditoria i. Evaluación administrativa de las dependencias de Caritas SM ii. Evaluación de las funciones y responsabilidades del personal iii. Evaluación de sistemas y procedimientos iv. Evaluación a los equipos de computo v. Evaluación ergonómica a los equipos de computo vi. Evaluación al procesamiento de datos vii. Evaluación del acceso físico viii. Evaluación a la Seguridad de los Sistemas ix. Documentación formal de las observaciones y otros aspectos de esta etapa Pruebas de consentimiento: (si aplicaran) Utilización de Herramientas y procedimientos para realizar las pruebas de consentimiento Recolección de información de controles internos Análisis de controles internos Analizar si los controles internos son adecuados y cumplen su propósito Determinar medidas alternativas para mejorar los controles internos (si fuera necesario). Documentación de observaciones y resultados obtenidos. Pruebas de Controles de Usuario: (si Aplicaran) Entrevistas, cuestionario sobre los controles internos y controles de usuario al personal adecuado Análisis de controles de usuario vs controles internos Documentación de las observaciones, análisis y resultados obtenidos. Pruebas sustantivas. Desarrollo de pruebas para identificar errores Evaluación de procesos y determinación de desviaciones Evaluación de las normas y medidas de seguridad tanto física como de sistemas y datos Evaluación de la existencia de licencias de uso de software
Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos
11
e. Documentación y establecimiento de desviaciones y aciertos dentro de las observaciones realizadas. 15. Evaluación del Riesgo de la Auditoria a. Determinación del Riesgo i. Establecimiento de matriz de riesgos 1. Financieros 2. Operativo 3. Tecnológico ii. Ponderación del riesgo iii. Medición del alcance e impacto del riesgo iv. Priorización de los riesgos v. Documentación de los riesgos b. Establecimiento de Medidas sobre el riesgo c. Establecimiento de Plan de contingencia de Riesgos en base a los puntos anteriores. 16. Investigaciones adicionales (si fueran necesarias para la objetividad del a auditoria) 17. Integración de Papeles de Trabajo 18. Análisis de Información Recabada a. Redacción de un dictamen preliminar i. Resaltar hallazgos preliminares ii. Aciertos preliminares iii. Socializar la información con los Interesados 19. Dictamen de la Auditoria a. Redacción del dictamen del a auditoria en base a la información recolectada i. Presentación de la auditoria ii. Objetivos de la auditoria iii. Alcances iv. Metas v. Desarrollo vi. Información recabada vii. Observaciones realizadas viii. Métodos de recolección de información ix. Resultados Obtenidos x. Desviaciones observadas 1. Hallazgos Realizados xi. Aciertos encontrados 1. Resaltar Aciertos Encontrados Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos
12
xii. Determinación de recomendaciones xiii. Establecimiento de la opinión profesional, independiente y oportuna del auditor xiv. Conclusiones xv. Recomendaciones finales xvi. Bibliografías utilizadas b. Presentación de evidencias i. Oculares, ii. Físicas iii. Documentales iv. Audiovisuales 20. Presentación de Resultados con la Alta Administración a. Antes de socializar los resultados esta etapa debe de realizarse únicamente con los gerentes de la organización b. Realización de cambios necesarios en el informe si aplicaran 21. Socialización Final de la Auditoria con los miembros de la organización
Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos
13