manual de procedimientos de una auditorÍa de sistemas
TRANSCRIPT
Entregable 1
Dulce Itzel Jiménez Leal
Auditorias de sistemas de TI
MANUAL DE PROCEDIMIENTOS DE UNA AUDITORÍA DE SISTEMAS
Entregable 1
Dulce Itzel Jiménez Leal
I. Introducción
En la auditoría informática se investiga todos y cada uno de los aspectos importantes relacionados con los dispositivos informáticos de la empresa para que funcionen óptimamente: velocidad, seguridad, escalabilidad, prevención, mantenimiento.
Lo realmente importante es que haya una política general de informática para conseguir los siguientes objetivos.
Al igual que cualquier área de la organización, los sistemas de TI deben estar sometidos a controles de calidad y auditoría informática porque las computadoras y los centros de procesamiento de datos son blancos apetecibles para el espionaje, la delincuencia y el terrorismo.
Al perder de vista la naturaleza y calidad de los datos de entrada a los sistemas de TI se genera información errónea, con la posibilidad de que se provoque un efecto cascada y afecte a otras aplicaciones.
Asimismo, un sistema de TI mal diseñado puede convertirse en una herramienta muy peligrosa para la gestión y la coordinación de la organización.
La metodología empleada en la auditoría informática es similar a las fases que componen una auditoría tradicional: primero se planea para obtener y entender los procesos de negocio; en segundo lugar se analiza y evalúa el control interno establecido para determinar la probable efectividad y eficiencia del mismo.
Posteriormente, se aplican pruebas de auditorías para verificar la efectividad de los procedimientos de control (pruebas de cumplimiento), o de los productos de los procesos de trabajo (pruebas sustantivas).
Objetivo del manual
El presente manual comprende los conceptos fundamentales de la auditoria de sistemas, se ajusta a métodos y sistemáticos que nos ayudara a la formulación de juicios razonables para los procedimientos técnicos de control y auditoria de la administración gerencial y el desarrollo del análisis de la planeación y ejecución de la auditoria de sistemas con tecnologías de información a través del computador y utilizando el computador
Además de tener como propósito:
Fortalecer el trabajo del auditor, así como conceptos, fundamentos y
criterios sobre una auditoria informática.
Determina la capacitación del personal que esta incorporado a la
institución
Revisa si los objetivos y las metas planteados se están cumpliendo
sobre las tecnologías de la información.
Fija la calidad de la auditoria que se practican
Prevé el cumplimiento de los reglamentos referidos a la gestión de la
Gerencia de Informática usuarios del sistema de información.
Determina si los objetivos y metas previstos se están cumpliendo
sobre las tecnologías de información que utiliza la empresa.
Establece si la entidad tiene un sistema adecuado de control en el
área de sistemas de información computarizada, así como con los
usuarios.
Determina como se está utilizando las técnicas de auditoría para
efectuar procedimientos de auditoría a través y utilizando el
computador.
Objetivo Y Alcance del Trabajo
Objetivo:
Dentro de la auditoria se evaluara:
a) La eficiencia y eficiencia en las operaciones
b) La salvaguarda de activos
c) La confiabilidad de información
d) El cumplimiento de las normas
Alcance:
Este Manual será utilizado como apoyo importante al desarrollo de la asignatura de Auditoria de Sistemas, en algunos casos será estudiado previamente por indicación del profesor, lo que permitirá el análisis y debate colectivo del tema leído.
En otros casos, servirá para una lectura que complemente las explicaciones recibidas durante las sesiones de aprendizaje. Esta lectura será comprensiva y deberá utilizar las técnicas de estudio que se propone en uno de los temas desarrollados.
Después de la lectura comprensiva efectuada deberás desarrollar las actividades de aplicación propuestas en el Manual. Algunos trabajos son individuales y otros son para desarrollarse en grupos.
Pueden ser realizados en aula, o requerir de trabajo de campo; ambas modalidades fortalecen la capacidad de autoaprendizaje del estudiante.
También deberás resolver las cuestiones planteadas en la autoevaluación al final de cada tema.
Si tuvieras dificultad consulta a tu profesor o efectúa investigaciones puntuales.
INFORME DE AUDITORÍA.
1. Elaboración.-
El informe de auditoría es el producto final del trabajo del auditor, por medio
del cual se exponen las observaciones, conclusiones y recomendaciones.
Debe contener juicios fundamentados en las evidencias obtenidas, con el
objeto de brindar suficiente información acerca de los desvíos o deficiencias
más importantes y las recomendaciones pertinentes.
Los objetivos del informe deben estar definidos en el plan individual de
auditoría y recogidos en el informe.
El informe de auditoría es la herramienta de comunicación a la
administración, para convencer y persuadir sobre la implantación de
acciones correctivas que la ayudarán a alcanzar los objetivos y metas.
2. Características.-
a) Características Importancia del contenido: los asuntos que se incluyan en
el informe deben ser lo suficientemente relevantes para recabar la atención
de los funcionarios a los que va dirigido.
b) Completo y suficiente: se debe brindar la información necesaria para la
adecuada interpretación de los temas tratados.
c) Utilidad: el propósito del informe es agregar valor a la unidad auditada,
generar una acción constructiva, ayudar al auditado y a la organización y
conducir a la obtención de mejoras que resulten necesarias.
d) Oportunidad: debe emitirse sin retraso, a fin de permitir una rápida acción
correctiva. La oportunidad siempre es importante pero lo es más aún cuando
el informe se refiere a temas tales como mal versación de recursos,
transacciones ilegales, acciones de responsabilidad y otras fallas en la
protección del interés público.
NORMAS SOBRE AUDITORÍA DE SISTEMAS COMPUTARIZADOS (ISO 9000-1 2008)
El Organismo Internacional de Normalización, ISO, (Internatlonal
Organization for Standardization), fue creado en 1 947 y cuenta con 91
estados miembros, que son representados por sus organismos nacionales de
normalización
La ISO trabaja para lograr uno forma común de conseguir el establecimiento
del sistema de calidad, que garantice la satisfacción de las necesidades y
expectativas de los consumidores.
A comienzos de! año 1980 la ISO designó una serie de comités técnicos para
que trabajaran en el desarrollo de normas comunes que fuesen aceptadas
universalmente.
El resultado de este trabajo fue publicado siete años más tarde a través del
compendio de normas ISO 9000, posterior a la publicación de la norma de
aseguramiento de la calidad-vocabulario (ISO 8402), que fue dada a conocer
en 1986.
El diario oficial de las comunidades europeas, el 28 de Enero de 1991,
publicó una comunicación que fue también nombrada el Libro Verde de la
normalización. Este importante documento no sólo fue un marco de
referencia para Europa, sino también para las comunidades que negocian
con ellos, como el caso de Mercosur, con esto se exige o sus proveedores
que sean auditados y certificados bajo los lineamientos de la ISO 9000
La frecuencia que ISO estableció para la revisión y actualización de lo serie
ISO
9000 fue de cinco años.
OBJETIVOS DE LAS ISO 9000
Proporcionar elementos para que una organización pueda lograr la calidad
del producto o servicio, a la vez que mantenerla en el tiempo, de manera
que las necesidades del cliente sean satisfechas permanentemente,
permitiéndole a la empresa reducir costos de calidad, aumentar la
productividad, y destacarse o sobresalir frente a la competencia.
Proporcionar a los clientes o usuarios la seguridad de que el producto o los
servicios tienen la calidad deseada, concertada, pactada o contratada.
Proporcionar a la dirección de la empresa la seguridad de que se obtiene la
calidad deseada.
Los requerimientos de la norma son genéricos, a raíz de que los mismos
deben ser aplicables a cualquier empresa, independientemente de factores
tales como: tamaño, actividad, clientes, planificación, tipo y estilo de
liderazgo, etc. Por tanto, en los requerimientos se establece el "qué", pero
no el "cómo". Un proyecto de implementación involucra que la empresa
desarrolle criterios específicos y que los aplique, a través del SGC, a las
actividades propias de la empresa. Al desarrollar estos criterios coherentes
con su actividad, la empresa construye su Sistema de Gestión de la Calidad.
En el caso de que el auditor encuentre áreas de incumplimiento, la
organización tiene un plazo para adoptar medidas correctivas, sin perder la
vigencia de la certificación o la continuidad en el proceso de certificación
(dependiendo de que ya hubiera o no obtenido la certificación).
Un proyecto de implementación, involucrará, como mínimo:
Entender y conocer los requerimientos normativos y cómo los mismos
alcanzan a la actividad de la empresa.
Analizar la situación de la organización, dónde está y a dónde debe llegar.
Construir desde cada acción puntual un Sistema de Gestión de la Calidad.
Documentar los procesos que sean requeridos por la norma, así como
aquellas que la actividad propia de la empresa requiera.
La norma solicita que se documenten procedimientos vinculados a: gestión y
control escrito, registros de la calidad, auditorías internas, producto no
conforme, acciones correctivas y acciones preventivas.
Detectar las necesidades de capacitación propias de la empresa.
Durante la ejecución del proyecto será necesario capacitar al personal en lo
referido a la política de calidad, aspectos relativos a la gestión de la calidad
que los asista a comprender el aporte o incidencia de su actividad al
producto o servicio brindado por la empresa (a fin de generar compromiso y
conciencia), proporcionando herramientas de auditoría interna para aquellas
personas que se desempeñen en esa posición.
Realizar Auditorías Internas.
Utilizar el Sistema de Calidad (SGC), registrar su uso y mejorarlo durante
varios meses.
Solicitar la Auditoría de Certificación.
La ISO 9001 es una norma internacional que se aplica a los sistemas de
gestión de calidad (SGC) y que se centra en todos los elementos de
administración de calidad con los que una empresa debe contar para tener
un sistema efectivo que le permita administrar y mejorar la calidad de sus
productos o servicios.
Los clientes se inclinan por los proveedores que cuentan con esta
acreditación porque de este modo se aseguran de que la empresa
seleccionada disponga de un buen sistema de gestión de calidad (SGC).
Esta acreditación demuestra que la organización está reconocida por más de
640.000 empresas en todo el mundo.
Cada seis meses, un agente de certifcadores realiza una auditoría de las
empresas registradas con el objeto de asegurarse el cumplimiento de las
condiciones que impone la norma ISO 9001. De este modo, los clientes de
las empresas registradas se libran de las molestias de ocuparse del control
de calidad de sus proveedores y, a su vez, estos proveedores sólo deben
someterse a una auditoría, en vez de a varias de los diferentes clientes. Los
proveedores de todo el mundo deben ceñirse a las mismas normas.
Proceso de auditoria
Plan de auditoria Informática
La auditoría contiene elementos de análisis para la verificación y exposición
de debilidades y funciones; como toda auditoria de lleva a cabo en tres fases
generales que son la planeación, ejecución y conclusión.
A) Planeación de la auditoria:
La primera tarea a cumplir, dentro de la planificación de la auditoría, es el
conocimiento de la unidad de control. Se real izarán relevamientos
preliminares con el objeto de reunir información acerca de las actividades
a auditar.
Esto permitirá conocer, con un grado de detalle apropiado, los objetivos y
estrategias del Área, su estructura organizativa, la normativa vigente, los
recursos humanos, la localización geográfica, los usuarios, los
proveedores, el estilo de dirección, las modalidades operativas
principales, las políticas básicas, los recursos disponibles y similares
B) Ejecución del plan de auditoria:
Se deberá elaborar un plan de trabajo para cada una de las auditorías a
practicar, a fin de permitir su apropiada conducción y aprobación.
Ello facilitará el avance de las tareas a través de las distintas etapas, el
control del tiempo insumido y consecuentemente, la apropiad a
utilización de los recursos humanos y materiales.
C) Conclusiones de la auditoria
Los procedimientos a aplicar podrán ser los siguientes:
a) Indagación: Consiste en la averiguación mediante entrevistas directas con
el personal de la entidad auditada o con terceros que tengan relación con las
operaciones de ésta (evidencias testimoniales).
b) Encuestas y cuestionarios: aplicación de preguntas relacionadas con las
operaciones, para conocer la verdad de los hechos, situaciones u
operaciones. Deben estar debidamente intervenidas por los involucrados
(evidencias documentales, testimoniales).
c) Observación: verificación ocular de operaciones y procedimientos durante
la ejecución de las actividades de la unidad. Se lo considera complemento
del relevamiento (evidencias físicas).
d) Análisis de soportes informáticos: evaluación de los elementos lógicos,
programas y aplicaciones utilizados por el auditado (evidencias
informáticas).
e) Inspección: examen físico y ocular de activos tangibles o de hechos,
situaciones, operaciones, transacciones y actividad es aplicando la
indagación, observación, comparación, rastreo, análisis, tabulación y
comprobación (evidencias físicas).
Adicionalmente podrán utilizarse métodos auxiliares que complementen los
procedimientos ya citados, tales como:
f) Pruebas selectivas a criterio del auditor: se seleccionará una muestra
representativa del universo a analizar con el objeto de simplificar las labores
de medición, verificación o examen. La cantidad y características de las
unidades elegidas estarán vinculadas con el conocimiento que pueda tener
el auditor del control.
DIAGRAMA DE CONTENIDO
PR
OC
ES
ES
O
DE
L
A
AU
DI
TO
RI
A
DE
S
IS
TE
MA
S
DE
TE
CN
OL
OG
ÍA
S
DE
IN
FO
RM
AC
IÓ
N
PR
OC
ES
ES
O
DE
L
A
AU
DI
TO
RI
A
DE
S
IS
TE
MA
S
DE
TE
CN
OL
OG
ÍA
S
DE
IN
FO
RM
AC
IÓ
NPlaneación de la
auditoria
Conclusiones de la
auditoria
Ejecución del plan
de auditoria
Planeación de la auditoria
Se definirán los problemas principales que son revisados en la auditoria de software
Inventario de software
Los procedimientos de auditoría de software deben comenzar con un inventario de todo el software asignado a una organización con un gestor asignado de datos en el control de la gestión del software. El software debe mantenerse en un área centralizada segura con los controles ambientales adecuados. Si una organización no tiene un área centralizada para todos los programas de software, la auditoría revelará la discrepancia.
Interrogación de archivos
La interrogación de archivos es un procedimiento de auditoría que inspecciona físicamente los equipos para el software OEM original y las licencias. Los programas de auditoría de software se pueden insertar en cualquier sistema informático para comprobar el número de registro del software mediante la comparación de las claves principales en el registro que almacena el número de licencia del software que se examina. Los procedimientos de auditoría de software afirman que si el software no coincide con la clave de la licencia, el software debe ser investigado y eliminado.
Problemas de licenciaLa gerencia puede comprar licencias de software basado en el modelo de negocio de la organización y el número de usuarios finales que requieren la aplicación de software. Uno de los procedimientos de auditoría de software es revisar los contratos de licencia para ver si las licencias son actuales y adecuadas para apoyar las operaciones comerciales. Por ejemplo, un paquete de software de contabilidad puede tener una licencia de grupo de 50 usuarios, aunque sólo cinco empleados utilizan la aplicación. Los temas sobre licencia relativos a auditar también inspeccionan los ahorros de costos relacionados con la gestión del software.
DELITO INFORMATICO
Los delitos cometidos utilizando la computadora han crecido en tamaño, forma y variedad. En al actualidad los delitos cometidos vía informática son detectados en 60%.Fraudes - Falsificaciones - Ventas de Información, etc.
Caso de Montesinos – Prima de Del Castillo.Venta de Información confidencial CIA - KGB. Hacker que desvían fondos de los Bancos.Venta de formulas secretas de productos.Fraude Bancarios.
Beneficio Personal. Odio a la organización. Problemas Financieros. Síndrome de Robin Hood.
Fácil modo de desfalco. Por deudas. Vicios de juego. Equivocación de ego.
Software de utilidadEl software de utilidad proporciona soporte a los sistemas cuando los virus y otros programas maliciosos se encuentran en el sistema. Los procedimientos de auditoría se dirigen a las herramientas adecuadas de utilidad para eliminar el software, la creación de cortafuegos a través del firmware para detener los ataques de intrusos externos y la pericia del personal para implementar y mantener un programa de seguridad de software.
Recuperación de desastresLos procedimientos de recuperación de desastres referentes al software dirigen la copia de seguridad y la reubicación de los discos de software o programas a otros lugares para evitar la destrucción de los programas originales. Los procedimientos de auditoría relativos a las misiones críticas del software apoyan el mantenimiento de las aplicaciones clave fuera de las instalaciones a través de un acuerdo de reciprocidad con una empresa que cuente con las instalaciones para almacenar los discos y otros medios de comunicación de software.
Ejecución de la Auditoria
Las preguntas fueron planteadas mediante las siguientes puntos:
.- Integridad De Datos
Adicionalmente a los controles anteriormente mencionados, para fines de asegurar la integridad de los datos en cuanto a su completitud y confiabilidad, el sistema debe poseer programas que rastreen los archivos y determinen incongruencias y falta de cuadre de la información.
Debe asimismo, en forma externa, establecerse procedimientos de comparación de la información producida por el sistema contra otras informaciones disponibles, para efectos de determinar la confiabilidad de la información. Dentro de este aspecto estan las circularizaciones de comprobación de la información del computador con las áreas o personas involucradas.
6.- Validez de los Resultados
El aspecto mas importante de todo el sistema son los resultados, por lo que al revisar el sistema debe verificarse que los resultados cumplan con las especificaciones del diseño del sistema, lo cual debe comprobarse mediante juegos de datos de pruebas especialmente preparados, y que prueben todas las posibilidades de las entidades, datos y situaciones.
7 Seguridad del Sistema
Debe comprobarse que el Sistema cuente con los siguientes tipos de seguridad:
- Seguridad en el acceso a la información.
- Seguridad del sistema.
- Seguridades Físicas.
Se mostraran las preguntas que se realizaron en la auditoria informática con respecto al software:
1. ¿Ha tenido en cuenta las distintas versiones de los elementos software?2. ¿Es posible modificar y mejorar el código fuente de sus programas a medida?3. ¿Está disponible el código fuente?4. ¿Se han hecho estudios coste/beneficio sobre si cambiar los sistemas del departamento o mejorarlos? 5. ¿Se han hecho estudios coste/beneficio sobre si cambiar los sistemas del departamento o mejorarlos?6. ¿Se han hecho estudios que revelan cuál es la manera más sencilla y menos costosa de cambiar y mejorar el sistema?7. ¿Ha identificado que códigos fuentes son propiedad de otras entidades?8. ¿Existe un contrato de utilización con los propietarios?9. ¿Va a exigirles a los propietarios de dichos códigos un informe de progresos?10. ¿Tiene asesoramiento legal para asegurarse de dichos contratos son correctos y puede exigir compensaciones económicas en caso de incumplimiento?11. ¿Ha verificado en general los productos adquiridos recientemente? (contratos de utilización, códigos fuente,…..)
Y la ejecución de las mismas dependiendo de la norma IOS a la que fueron
aplicadas:
Referencia de la norma
Requisito
7.2.1.Determinacion de requisitos determinados con el producto
1. ¿Ha tenido en cuenta las distintas versiones de los elementos software?
Si, por que se van actualizando en algunas versiones o plataformas que tienen licencias.
7.2.2. Revisión de requisitos relacionados con el producto.
2. ¿Es posible modificar y mejorar el código fuente de sus programas a medida?No, porque se maneja con licencia como por ejemplo Office pero existe uno Vitasoft y sirve para realizar bitácoras.
7.3.4. Revisión de diseño y desarrollo.
3. ¿Está disponible el código fuente?No para software en particular instalable en las computadoras en un caso especial se considera el Bitasoft en caso de la administración de laboratorios
7.4.1.Proceso de Compras
4. ¿Se han hecho estudios coste/beneficio sobre si cambiar los sistemas del departamento o mejorarlos?No, porque no hay una orden directa
7.4.2. Información de compras.
5. ¿Se han hecho estudios que revelan cuál es la manera más sencilla y menos costosa de cambiar y mejorar el sistema?Si, en bitácoras de accesos llevada el control de alumnos y profesores dentro del área.
7.3.4. Revisión de diseño y desarrollo.
6. ¿Ha identificado que códigos fuentes son propiedad de otras entidades?Si, como por ejemplo Microsoft y todo material con licencia por volumen o en su caso software libre
7.4.3.Verificacion de los productos comprados
7. ¿Existe un contrato de utilización con los propietarios?Si campus Agrimen y se empezó a utilizar desde hace más de 10 años.
7.4.3.Verificacion de los productos comprados
8. ¿Va a exigirles a los propietarios de dichos códigos un informe de progresos?No, no se exige para pedir código
7.4.1.Proceso de Compras
9. ¿Tiene asesoramiento legal para asegurarse de dichos contratos son correctos y puede exigir compensaciones económicas en caso de incumplimiento?Todo contrato es de acuerdo a un abogado y previamente revisado
7.4.3.Verificacion de los productos comprados
10. ¿Ha verificado en general los productos adquiridos recientemente? (contratos de utilización, códigos fuente,…..)Se verifican por que se maneja en la plataforma Microsoft y es válida, solo existen dos personas que pueden realizar esto la directora de la carrera y el Profesor Alberto Santos
7.4.3.Verificacion de los productos comprados
11. ¿Su suministrador de software sigue el negocio?Si, de hecho es un trato vigente y es por una licencia por volumen no por maquina
Conclusiones de la auditoria
Reuniones de Revisión
Un aspecto fundamental para efectuar un buen control del sistema son las Entrevistas de Revisión Técnica, ya que la documentación en la mayoría de los casos es muy escasa.
Deficiente y generalmente cubre solo una parte de la información y las entrevistas permiten complementar la información técnica y recabar opiniones sobre deficiencias del sistema.
Las reuniones de Revisión Técnica, debe estar debidamente planificadas y contar con formularios de los temas y consultas a tratar, para evitar olvidar cualquier aspecto fundamental para el análisis y la investigación.
Las reuniones de Revisión Técnica deben efectuarse con todas las personas
que participaron en el desarrollo e implantación del sistema, así como los
que operan y utilizan el sistema.
Deben efectuarse reuniones de Revisión Técnica con cada participante en forma separada para lograr información y opiniones libres e independientes de cada uno de ellos.
Después de las reuniones individuales puede efectuarse una reunión global para determinar las conclusiones de consenso.
Las Entrevistas de Revisión Técnica deben efectuarse con la o las siguientes personas que llevaron o llevan a cabo las siguientes funciones:
. El Analista de Sistemas.
. El Programador.
. El Implementador.
. El / los Operadores del Sistema.
. Los Usuarios Operativos que utilizan el Sistema.
. Los Usuarios que utilizan la información para la toma de decisiones.
En todo caso deben consultarse los factores que limitaron el desarrollo, implantación, operación y uso del sistema, así como las deficiencias, aspectos de confiabilidad y seguridad, en función de cada persona.
SE DEBE REALIZAR BENCHMARK O PRUEBAS DEL SISTEMA
Instrumento vital para evaluar la confiabilidad del Sistema es lo que se
denomina Benchmark o Pruebas del Sistema.
No basta con evaluar el sistema tomando conocimiento de su
documentación y sosteniendo reuniones de revisión técnica con el personal
involucrado, lo fundamental que demuestra la buena funcionalidad y
confiabilidad del sistema es efectuar procesos de prueba simulando
situaciones extremas de tal forma de determinar si el sistema responde a lo
especificado y es confiable produciendo resultados correctos en los tiempos
esperados
Es por eso que se deben realizar Benchmark o procesos de prueba
especiales tales como:
Prueba de carga máxima.
Aplicación de Técnicas Que se deben de utilizar para la mejora:
Se debe verificar que se hayan utilizado las técnicas adecuadas para cada etapa y subetapas del desarrollo e implantación del Sistema.
Para cada etapa se aplican las siguientes técnicas:
Análisis de Sistemas :
- Entrevistas.
- Diagrama de Flujo de Datos (D.F.D.).
- Modelización de Datos.
- Diagrama de Estructura de Datos (D.E.D.).
- Historia de Vida de la Entidad (H.E.V.).
- Análisis de Costo-Beneficio (A.C.B.).
.
Prueba de almacenamiento.
.
Prueba de tiempo de ejecución.
.
Prueba de recuperación
- Prototipo.
Diseño de Sistemas :
- Diseño Estructurado.
- Diagrama de Estructura de Cuadros.
- Optimización del Diseño Físico.
- Diseño de Pruebas.
- Prototipo.
Programación :
- Programación Estructurada.
- Pruebas Unitarias.
- Pruebas de Integración.
- Prueba del Sistema.
Implantación de Sistemas :
- Capacitación.
- Creación de archivos iniciales.
- Proceso en paralelo.
CÓDIGO DE ÉTICA DE LOS FUNCIONARIOS DE LA AUDITORIA INTERNA
Los funcionarios de la Auditoría Interna desarrollarán sus tareas de acuerdo con los siguientes principios y normas de conducta, además de los establecidos en la normativa vigente, especialmente en el TOCAF y el TOFUP:
1. Integridad
Los auditores internos desempeñarán su trabajo con honestidad, diligencia y responsabilidad.
Respetarán las leyes y divulgarán lo que corresponda de acuerdo con la ley. No participarán a sabiendas de una actividad ilegal o ilícita.
Respetarán y contribuirán a los objetivos legítimos y éticos de la organización.
2. Objetividad.
La actividad del auditor debe ejecutarse manteniendo independencia de criterio, desarrollando su trabajo con objetividad e imparcialidad en la formulación de los juicios.
La objetividad es una actitud mental independiente que deben mantener los auditores internos en la realización de sus trabajos. Deben tener una honesta confianza en el producto de su labor y en la calidad de la misma.
La objetividad consiste en una actuación fundada en la realidad de los hechos y circunstancias relevadas durante el plan de auditoría que permita mantener sobre bases sólidas las conclusiones y juicios sin deformación alguna.
Conclusión de la auditoria
FUENTES DE INFORMACIÓN
1 http://www.google.com.mx/url?sa=t&rct=j&q=&esrc=s&frm=1&source=web&cd=6&ved=0CDkQFjAF&url=ftp%3A%2F%2Fftp.usmp.edu.pe%2Fseparatas%2FFCCEF%2FSilabosPregrado%2FESCUELA%2520CONTABILIDAD%2520Y%2520FINANZAS%2FCICLO%2520X%2FESPECIALIDAD%2520DE%2520AUDITORIA%2FAUDITOR%25CDA%2520DE%2520SISTEMAS%2FMANUAL%2520AUDITOR%25CDA%2520DE%2520SISTEMAS%2520-%25202013%2520-%2520I%2520-%2520II.docx&ei=wQY-VOeiBdGuyAS_qYDYCg&usg=AFQjCNHjwGB48hoaXV8h4XGWEeZ3y0_bWQ&bvm=bv.77412846,d.b2U
2
http://www.anp.com.uy/wps/wcm/connect/878d1113-567e-4acd-8dbe-59d6c3e3f9d8/ManualEtica.pdf?MOD=AJPERES&CACHEID=878d1113-567e-4acd-8dbe-59d6c3e3f9d8
DIAGNOSTICO DE LA FUNCION INFORMARICA
Análisis FODA
Tal ves la falta de informacion o interes en el temaREnovavion de las politicas de calidad
No se acatan los controles de seguridadlos recursos economicos son insuficientes para realizar cambiosnecesita un analisis mas afonfo para determinar problemas futuros en otras areasapesar de contar con politicas estas no se aplican completamente
Traera consigo el mejoramiento de los procesossurgimiento de mecanismos que aran que se aprovechen los recursosimplementacion de nuevas tecnologias
Se cuenta con buen numero de personal para realizar la auditoria o para ser auditadoSe conto con las herramientas necesariasayudara a la mejora del desarrollo de los procesosse obtendran nuevas politiocas de seguridad
Fortalezas Oportunidades
AmenazasDebilidades
Plan de Acción
Análisis Problemas clave
Plan de acción
Plan de acción inmediato
Seguimiento del
prioritario plan de acción
5 Actividades Mejoradas
5 Actividades de mejora en este proyecto:1.- La implementación de la norma ISO 9001-2008, ya que fue una norma que se vio en clase fue más fácil de implementar que buscar otra y analizarla y después implementarla
2.- La implementación de SmartArt para dar mejor entendimiento a algunas secciones de este proyecto. Así como darle más visualización y no tener solo texto plano.
3.- la consulta adecuada de ejemplos de otros tipos de manuales para corregir y tener una mejor guía de lo que se iba a hacer en el manual. Correcciones de algunos de los párrafos.
4.-
Diagnostico personal
Reflexión