Auditoria de Sistemas

4.728 visualizaciones

Publicado el

Publicado en: Tecnología, Empresariales
0 comentarios
1 recomendación
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
4.728
En SlideShare
0
De insertados
0
Número de insertados
5
Acciones
Compartido
0
Descargas
107
Comentarios
0
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.

Auditoria de Sistemas

  1. 1. República Bolivariana de Venezuela Ministerio del Poder Popular para la Educación Superior Instituto Universitario de Tecnología Juan Pablo Pérez Alfonzo I.U.T.E.P.A.L - Ampliación Pto Cabello Auditoria de Sistemas II Profesora: Autores: Yelmin Perez Arismendi Fredy Soteldo Xiolimir Sección 1551 Puerto Cabello, Agosto del 2011
  2. 2. 1 Tipos de Auditoria de sistema de información Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc. Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos. Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujo gramas. Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos. Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio. Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta.
  3. 3. 2 objetivos de la auditoria • Los objetivos de la auditoría Informática son: • El control de la función informática • El análisis de la eficiencia de los Sistemas Informáticos • La verificación del cumplimiento de la Normativa en este ámbito • La revisión de la eficaz gestión de los recursos informáticos Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación. Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes. la técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados por titulados en Ingeniería Informática e Ingeniería Técnica en Informática y licenciados en derecho especializados en el mundo de la auditoría.
  4. 4. 3 Como realizar un informe de auditoria Informe de auditoría. Los informes de auditoría son el producto final del trabajo del auditor de sistemas, este informe es utilizado para indicar las observaciones y recomendaciones a la gerencia, aquí también se expone la opinión sobre lo adecuado o lo inadecuado de los controles o procedimientos revisados durante la auditoria, no existe un formato específico para exponer un informe de auditoria de sistemas de información, pero generalmente tiene la siguiente estructura o contenido: • Introducción al informe, donde se expresara los objetivos de la auditoria, el período o alcance cubierto por la misma, y una expresión general sobre la naturaleza o extensión de los procedimientos de auditoria realizados. • Observaciones detalladas y recomendaciones de auditoria. • Respuestas de la gerencia a las observaciones con respecto a las acciones correctivas.
  5. 5. Conclusión global del auditor expresando una opinión sobre los controles y procedimientos revisados. La elaboración del informe de auditoría operativa es el punto final del proceso de captación y tratamiento de la información obtenida de la organización auditada. Esta información ha de ser suficiente para que el auditor, con su experiencia y conocimiento, sea capaz de realizar un diagnóstico y realizar unas recomendaciones La captación de la información de auditoría. La información es la materia prima con la que trabaja el auditor, esto da origen a pregunto-se: ¿Qué información hay que buscar?, ¿Dónde se encuentra?, ¿Cómo darle una coherencia? y otras más. El auditor operativo, antes de iniciar la recopilación de información necesita: ? Saber qué información es significativa y cual no lo es. ? Tener un esquema conceptual con el que ordenarla y clasificarla. ? Saber cuáles son los medios para obtenerla. ? Saber cómo se puede obtener al menor coste posible.
  6. 6. Obtención de Información Explotación de la información propia de la unidad de auditoría. Análisis documental. La información necesaria se puede obtener accediendo a las bases de datos corporativas, o a la memoria de actividades de la organización, sin necesidad de requerir información a la unidad auditada. Por ejemplo información relativa al personal o la ejecución del presupuesto. Dos recomendaciones: No recopilar información indiscriminadamente (costo tiempo y esfuerzo intelectual). Un estricto orden en la clasificación de la información (tratamiento efectivo). Cuestionario de Chequero. Este cuestionario es útil cuando la información propia es escasa y / o la unidad auditada se encuentra en una ubicación lejana. La información obtenida a través de él nos permite adelantar un prediagnóstico, de la situación de la unidad y orienta el trabajo de campo.
  7. 7. Observación directa. Es una técnica que nos permite captar con todos nuestro sentido la realidad de la organización y puede ser de dos tipos. No participante es aquella en que el auditor observa externamente el proceso sin interferir en ellos. Y participante es aquella en la que el auditor participa en los procesos de la unidad auditada, sea integrándose en el grupo y sus actividades. Entrevista. Es una técnica útil y arriesgada, ésta representa la inversión del territorio laboral de una persona, es lógico por lo tanto reacciones defensivas e incluso hostiles. Una forma de 'rebajar" tensión está en adoptar una postura amigable y de colaboración. El rendimiento de la entrevista depende de los siguientes factores (repartidos por igual entre el auditor y el entrevistado); la experiencia y los conocimientos del auditor y la predisposición y los conocimientos del entrevistado.
  8. 8. Cuestionarios Específicos. Tienen como finalidad obtener información más especifica derivada de la entrevista y la observación directa realizada con anterioridad Estos cuestionarios pueden ser de índole diversa por su forma y contenido: cuestionarios cuantitativos o cualitativos, cuestionario sobre clima de organizativo, sobre liderato, sobre dedicación a actividades, carga de trabajo, etc. Loa cuestionarios pueden dirigirse genéricamente a la organización o a las personas, individualmente. El cuestionario es una técnica barata pero presenta inconvenientes: hay una falta de feedback entre el auditor y encuestado; es posible que se produzca engaño en las respuestas; las preguntas tienen una formulación rígida. Prueba de Verificación. Consiste en realizar pruebas de los sistemas, equipos y/o procesos que están siendo auditados. Las pruebas se centran exclusivamente en éstos, sin tener en aierâa otras variables de la organización que estén incluidas en el proceso de auditoría Ejemplo: un sistema de información o equipo informático.
  9. 9. El tratamiento de la Información. El tratamiento es la aplicación de técnicas especificas para cada variable significativa de los tres niveles organizativos. Las técnicas de tratamiento pueden ser cuantitativas o cualitativas. La decisión de tratar o no, ciertas informaciones o variables se puede sistematizar aplicando los métodos: El análisis ABC. Se basa en regla empírica que dada una población de personas, objetos, etc, y una variable a controlar relacionada con los individuos de la población, la mayor parte del valor agregado de dicha variable se concentra en una reducida parte de la población, aproximadamente el 80% del valor agregado de la variable corresponde a un 20°/ó de la población.
  10. 10. El diagnóstico de la auditoría. Realizar un diagnóstico es reconocer los “síntomas” que indica el estado de la organización Naturalmente este diagnóstico será tanto más rico cuanto mas sofisticada sea la auditoría: existencia de problemas, ausencia de los problemas, eficiencia de los sistemas, necesidades de cambio. El diagnóstico organizativo es por definición, muy complejo. Intervienen en ii un gran número de variables, tantas como se hayan considerado en el modelo conceptual de los tres niveles de la organización. El diagnóstico cuenta con dos herramientas útiles: La aplicación directa de esta regla es que se puede controlar de manera suficiente la variable sencillamente controlando el reducido grupo que concentra la mayor parte del valor agregado de la variable, con lo cual se consiguen ahorros de costo y sólo actúa sobre aquello que verdaderamente es relevante.
  11. 11. 1. El análisis del impacto cruzado entre las variables. Es una técnica que consiste en analizar los efectos que tiene una variable sobre el resto de variable de un conjunto dado. El modelo conceptual de los tres niveles contiene un amplio número de variables. Por ello, se diseña una matriz de doble entrada en la que se confronten las variables principales del modelo de tres niveles, indicando en cada casilla de la matriz algunos de los efectos principales que produce cada variable sobre las demás. Tener sistematizado estos efectos contribuye a facilitar el diagnóstico de la auditoría y a contrastar hipótesis sobre los efectos interrelacionados de las variables. Ejemplo: Efecto de la variable POLÍTICA. Jerarquización de misiones y objetivos, puede venir condicionada por el presupuesto disponible, cuya dimensión hará que la política sea mis o menos ambiciosa, por los destinatarios de los productos y servicios, que modularan según sus características la formulación de la política y por el marco legal o normativo, a la cual se ha de supeditar la política.
  12. 12. 2. La técnica del stream análisis. Es una técnica de dinámica de grupo que tiene como objetivo llegar a un diagnóstico conjunto de la situación de la organización y expresarlo de una manera clara y concisa. Para el auditor tiene además unas utilidades adicionales, en el sentido de que ordena las informaciones parciales de la organización en un todo coherente, lo que facilita el diagnóstico; ayuda a la planificación de las acciones a emprender, ya que esta planificación se apoya en el diagnóstico y, finalmente, facilita la ejecución y el seguimiento de las acciones. Las etapas del stream análisis son: ? Identificación de las dimensiones organizativas básicas (tres niveles). ? Identificación y elaboración del inventario de los problemas de la organización, deducidos de los valores que adquieren las variables principales.
  13. 13. 4 Planificación de la auditoria Una planificación adecuada es el primer paso necesario para realizar auditorias de sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoria así como los riesgos del negocio y control asociado. A continuación se menciona algunas de las áreas que deben ser cubiertas durante la planificación de la auditoria: a. Comprensión del negocio y de su ambiente. Al planificar una auditoria, el auditor de sistemas debe tener una comprensión de suficiente del ambiente total que se revisa. Debe incluir una comprensión general de las diversas prácticas comerciales y funciones relacionadas con el tema de la auditoria, así como los tipos de sistemas que se utilizan. El auditor de sistemas también debe comprender el ambiente normativo en el que opera el negocio. Por ejemplo, a un banco se le exigirá requisitos de integridad de sistemas de información y de control que no están presentes en una empresa manufacturera. Los pasos que puede llevar a cabo un auditor de sistemas para obtener una comprensión del negocio son: Recorrer las instalaciones del ente.
  14. 14. b. Riesgo y materialidad de auditoria. Se puede definir los riesgos de auditoria como aquellos riesgos de que la información pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Los riesgos en auditoria pueden clasificarse de la siguiente manera: Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay. La palabra "material" utilizada con cada uno de estos componentes o riesgos, se refiere a un error que debe considerarse significativo cuando se lleva a cabo una auditoria.
  15. 15. c. Técnicas de evaluación de Riesgos. Al determinar que áreas funcionales o temas de auditoria que deben auditarse, el auditor de sistemas puede enfrentarse ante una gran variedad de temas candidatos a la auditoria, el auditor de sistemas debe evaluar esos riesgos y determinar cuales de esas áreas de alto riesgo debe ser auditada. Existen cuatro motivos por los que se utiliza la evaluación de riesgos, estos son: Permitir que la gerencia asigne recursos necesarios para la auditoria. Garantizar que se ha obtenido la información pertinente de todos los niveles gerenciales, y garantiza que las actividades de la función de auditoria se dirigen correctamente a las áreas de alto riesgo y constituyen un valor agregado para la gerencia.
  16. 16. 5 Auditoria como herramienta informática La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.
  17. 17. 6 Principales áreas en la auditoria de sistemas Generalmente se puede desarrollar en alguna o combinación de las siguientes areas: Gobierno corporativo Administración del Ciclo de vida de los sistemas Servicios de Entrega y Soporte Protección y Seguridad Planes de continuidad y Recuperación de desastres

×