Este documento describe los métodos de auditoría informática. Explica que el papel del auditor es buscar problemas dentro de los sistemas y proponer soluciones. También cubre los tipos de auditorías, herramientas como cuestionarios y rastreos, áreas de aplicación como planificación y desarrollo de sistemas, y controles como preventivos, detectivos y correctivos.
AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
La Auditoría Informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.
AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
La Auditoría Informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.
Diseño físico y lógico de los sistemas de informacionYESENIA CETINA
En esta presentación se explican historia, concepto, características de los sistemas de información, tipos de sistemas, diseño físico, diseño lógico, ciclo de vida de un sistema.
Diccionario de datos en los sistemas de informaciónYaskelly Yedra
Un diccionario de datos es un catálogo, un depósito, de los elementos de un sistema. Es un listado organizado de todos los datos pertinentes al sistema con definiciones precisas y rigurosas para que tanto el usuario como el analista tengan un entendimiento en común de todas las entradas, salidas, componentes y cálculos.
Técnicas de Recuperación Bases de DatosLork Ederwin
El método de recuperación restaura una copia de seguridad Antigua de la BD, que normalmente se archiva en cinta a partir de la copia de seguridad del registro
Diseño de entradas para sistemas de informaciónYaskelly Yedra
Los sistemas de información deben contar con interfaces de usuario que facilitan la entrada de datos para luego ser procesada por el sistema y que sea convertida en información.
Diseño físico y lógico de los sistemas de informacionYESENIA CETINA
En esta presentación se explican historia, concepto, características de los sistemas de información, tipos de sistemas, diseño físico, diseño lógico, ciclo de vida de un sistema.
Diccionario de datos en los sistemas de informaciónYaskelly Yedra
Un diccionario de datos es un catálogo, un depósito, de los elementos de un sistema. Es un listado organizado de todos los datos pertinentes al sistema con definiciones precisas y rigurosas para que tanto el usuario como el analista tengan un entendimiento en común de todas las entradas, salidas, componentes y cálculos.
Técnicas de Recuperación Bases de DatosLork Ederwin
El método de recuperación restaura una copia de seguridad Antigua de la BD, que normalmente se archiva en cinta a partir de la copia de seguridad del registro
Diseño de entradas para sistemas de informaciónYaskelly Yedra
Los sistemas de información deben contar con interfaces de usuario que facilitan la entrada de datos para luego ser procesada por el sistema y que sea convertida en información.
Conceptos básicos como introducción a la Auditoría Informática.
HERNÁNDEZ HERNÁNDEZ, Enrique. Auditoría en Informática. Un enfoque práctico, 2ª Edición, México: Compañía Editorial Continental, 2000
•Gomez Vieites, Alvaro. Enciclopedia de la Seguridad Informática. México: Alfaomega, 2007.
Auditoria: La auditoría es el evalúo de las operaciones o procesos que se llevan a cabo en una empresa, el cual consiste en identificar alguna falla que perjudique las metas establecidas o de verificar si se están cumpliendo. Esta actividad se proyectó con la finalidad de examinar y plantear una solución a los problemas.
Auditor: El auditor es el actor o la persona que está encargada de realizar o llevar a cabo las auditorias en una empresa u organización. Tienen como objetivo diagnosticar y evaluar con coherencia y ética los resultados de los procesos u operaciones con el propósito decidir recomendar una solución.
La auditoría informática abarca todas aquellas tareas dirigidas a la revisión control y evaluación, ya sea técnica e integral de todos los sistemas informáticos, controles, procedimientos, software dispositivos de cómputo y de comunicación que funcionan dentro de una entidad u organización, con el fin de comprobar si sus tareas se desarrollan siguiendo las normas informáticas y los objetivos de la organización. Con la finalidad de lograr una alta eficiencia y seguridad, mejorando la calidad de las instalaciones, procesamiento de la información, resultados pertinentes, mayor eficacia sobre los recursos humanos y materiales que trabajan con los mismos. Su alcance comprende la revisión completa de todos los aspectos relacionados con los sistemas informáticos y de la información de la empresa, sean individuales, compartidas o de redes.
La auditoría es de gran, ya que gracias a ella, se puede emitir un informe sobre la situación en que se desarrollan y utilizan los recursos informáticos, lo que genera es un hallazgo sobre qué problemas se encuentran en los sistemas que puedan a la larga dificultar el trabajo de quienes utilizan esas herramientas, y facilitar un espacio para las evaluaciones, mejoraras en el control en su implementación sistemática; rentabilidad de la organización, eficiencia y seguridad en el procesamiento de la información que suministra la toma de decisiones.
-Característica de la Auditoria Informática.
• La auditoría informática se caracteriza por ser un examen ya que consiste en examinar parte de una situación o proceso actual.
• Tiende a ser metódica ya que sigue un modelo o técnica de trabajo específica, con el fin de lograr conclusiones fundamentadas.
• Además, la auditoria informática es puntual porque se establece en un límite de tiempo pautado.
• Puede llegar a ser interrumpida porque su objetividad vela por los servicios informáticos.
• Es una observación independiente de todos los aspectos relacionados con los sistemas informáticos de la empresa.
• Permite también atender las necesidades de los recursos humanos que manejan esos sistemas y la organización que los emplea.
• Orienta a la necesidad de obtener nuevos sistemas informáticos o actualizaciones.
El análisis PESTEL es una herramienta estratégica que examina seis factores clave del entorno externo que podrían afectar a una empresa: políticos, económicos, sociales, tecnológicos, ambientales y legales.
Anna Lucia Alfaro Dardón, Harvard MPA/ID. The international successful Case Study of Banco de Desarrollo Rural S.A. in Guatemala - a mixed capital bank with a multicultural and multisectoral governance structure, and one of the largest and most profitable banks in the Central American region.
INCAE Business Review, 2010.
Anna Lucía Alfaro Dardón
Dr. Ivan Alfaro
Dr. Luis Noel Alfaro Gramajo
La Norma Internacional de Contabilidad 21 Efectos de las variaciones en las t...mijhaelbrayan952
La Norma Internacional de Contabilidad 21 Efectos de las variaciones en las tasas de Cambio de la Moneda Extranjera (NIC 21) está contenida en los párrafos 1 a 49. Todos los párrafos tienen igual valor normativo, si bien la Norma conserva el formato IASC que tenía cuando fue adoptada por el IASB.
Anna Lucia Alfaro Dardón, Harvard MPA/ID.
Opportunities, constraints and challenges for the development of the small and medium enterprise (SME) sector in Central America, with an analytical study of the SME sector in Nicaragua. - focused on the current supply and demand gap for credit and financial services.
Anna Lucía Alfaro Dardón
Dr. Ivan Alfaro
2. Papel Del Auditor Informático Papel de auditor debe estar encaminado hacia la búsqueda de problemas existentes dentro de los sistemas utilizados, y a la vez proponer soluciones para estos problemas.
3.
4. Establecer los requisitos mínimos, aconsejables y óptimos para su adecuación del sistema auditado con la finalidad de que cumpla para lo que fue diseñado
5. Abstenerse de recomendar actuaciones innecesariamente onerosas, dañina, o que genere riesgo in justificativo para el auditado
6. El auditor al igual que otros profesionales pueden incidir en la toma de decisiones en la mayoría de sus clientes con un elevado grado de autonomía
7.
8. actuar conforme a las normas implícitas o explícitas de dignidad de la profesión y de corrección en el trato personal
9.
10. Tipos de Auditorias Auditoria Informática De Explotación Se ocupa de producir resultados, tales como listados, archivos soportados magnéticamente, órdenes automatizadas, modificación de procesos, etc. Para realizar la explotación informática se dispone de datos, las cuales sufren una transformación y se someten a controles de integridad y calidad.
16. ExplotaciónTodas estas fases deben estar sometidas a un exigente control interno, de lo contrario, pueden producirse insatisfacción del cliente, insatisfacción del usuario, altos costos, etc
17. Auditoria Informática de Sistemas Se ocupa de analizar la actividad que se conoce como técnica de sistemas, en todos sus factores Auditoria Informática de Comunicación y Redes Este tipo de auditoría deberá inquirir o actuar sobre los índices de utilización de las líneas contratadas con información sobre tiempos de uso y de no uso, deberá conocer la topología de la red de comunicaciones, ya sea la actual o la desactualizada Auditoria de la Seguridad Informática: Se debe tener presente la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones, lo que significa que se debe cuidar del mal uso de esta información, de los robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total.
18. Campos de Acción de la Auditoria Informática Su campo de acción será: Evaluación administrativa del área de informática. Evaluación de los sistemas, procedimientos, y de la eficiencia que se tiene en el uso de la información. Evaluación del proceso de datos y de los equipos de procesamiento.
19.
20.
21. Entrevistas El auditor comienza a continuación las relaciones personales con el auditado unas de las formas mas comunes de hacerlo es mediante entrevistas La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. Se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo
22.
23. Trazas y/o Huellas Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa. Dichos Software es conocido como trazas o huellas. Software de Interrogación En la actualidad, los productos Software especiales para la auditoría informática se orientan principalmente hacia lenguajes que permiten la interrogación de ficheros y bases de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalación.
24. Clasificación por Áreas de Aplicación de la Auditoria Informática PLANIFICACIÓN: Donde se pasa revista a las distintas fases de la planificación. ORGANIZACIÓN Y ADMINISTRACIÓN: en este punto se examinaran aspectos como las relaciones con los usuarios, con los proveedores, asignación de recursos, procedimientos, etc. DESARROLLO DE SISTEMAS: área importante donde la auditoría deberá velar por la adecuación de la informática a las necesidades reales de la Empresa. EXPLOTACIÓN: aquí se analizarán los procedimientos de operación y explotación en el centro de proceso de datos.
25. ENTORNO DE HARDWARE: donde se vigilará entre otras cosas los locales, el software de acceso, alarmas, sistemas anti-incendios, protección de los sistemas, fiabilidad del Hardware, etc. ENTORNO DEL SOFTWARE: en esta área la Auditoria Informática analizará los sistemas de prevención y detección de fraudes, los exámenes a aplicaciones concretas, los controles a establecer, en definitiva, todo lo relacionado con la fiabilidad, integridad y seguridad del software.
26. Controles Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y principios admitidos.
27. Clasificación de Controles Controles Preventivos Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones. Controles detectivos Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los mas importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.