Escolar Documentos
Profissional Documentos
Cultura Documentos
AUDITORIA DE SISTEMAS
INTRODUCCIN --------------------------------------------------------------------------------------------- 1 DEFINICIN--------------------------------------------------------------------------------------------------- 2 OBJETIVOS ESPECFICOS DE LA AUDITORIA DE SISTEMAS ------------------------------- 3 FASES BSICAS DE UN PROCESO DE REVISIN DE UNA AUDITORIA: ----------------- 4 ESTUDIO PRELIMINAR ----------------------------------------------------------------------------------- 4 REVISIN Y EVALUACIN DE CONTROLES Y SEGURIDADES ----------------------------- 4 EXAMEN DETALLADO DE REAS CRITICAS ----------------------------------------------------- 4 COMUNICACIN DE RESULTADOS ------------------------------------------------------------------ 5 DESARROLLO DEL PROGRAMA DE AUDITORA. ------------------------------------------------ 5 TEMA DE AUDITORA: ------------------------------------------------------------------------------------- 5 OBJETIVOS DE AUDITORA: ---------------------------------------------------------------------------- 5 ALCANCES DE AUDITORA: ---------------------------------------------------------------------------- 5 PLANIFICACIN PREVIA: -------------------------------------------------------------------------------- 6 PROCEDIMIENTOS DE AUDITORA PARA: --------------------------------------------------------- 6 TCNICAS DE RECOPILACIN DE EVIDENCIAS. ----------------------------------------------- 7 JUSTIFICATIVOS PARA EFECTUAR UNA AUDITORA DE SISTEMAS --------------------- 7 PRINCIPALES REAS DE LA AUDITORIA DE SISTEMAS. ------------------------------------- 8 PERFIL DEL AUDITOR DE SISTEMAS ---------------------------------------------------------------- 8 FUNCIONES DE LA AUDITORIA DE SISTEMAS ----------------------------------------------- 9 MAPA CONCEPTUAL ------------------------------------ ERROR! BOOKMARK NOT DEFINED. CUESTIONARIO ------------------------------------------- ERROR! BOOKMARK NOT DEFINED. BIBLIOGRAFA ---------------------------------------------------------------------------------------------- 10
Contendido
AUDITORIA DE SISTEMAS
Introduccin A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientas ms poderosas para materializar, uno de los conceptos ms vitales y necesarios para cualquier organizacin empresarial, los Sistemas de Informacin de la empresa. La informtica hoy, est subsumida en la gestin integral de la empresa, y por eso las normas y estndares propiamente informticos deben estar, por lo tanto,
sometidos a los generales de la misma. En consecuencia, las organizaciones informticas forman parte de lo que se ha denominado el management o gestin de la empresa. Cabe aclarar que la informtica no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por si misma. Por ende, debido a su importancia en el funcionamiento de una empresa existe la Auditoria Informtica. El trmino de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas. A causa de esto, se ha tomado la frase Tiene Auditoria como sinnimo de que, en dicha entidad, antes de realizarse la auditoria, ya se haban detectado fallas. El concepto de auditoria mucho ms que esto. Es un examen crtico que se realiza con el fin de evaluar la eficacia y eficiencia de una seccin, un organismo, una entidad, etc. Asimismo, se encarga de llevar a cabo la evaluacin de normas, controles, tcnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la informacin que se procesa a travs de los sistemas de informacin. La auditora de sistemas es una rama especializada de la auditora que promueve y aplica conceptos de auditora en el rea de sistemas de informacin. La auditoria en informtica es la revisin y la evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su
1
Contendido
utilizacin, eficiencia y seguridad, de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones
Definicin La auditora de los sistemas de informacin se define como cualquier auditora que abarca la revisin y evaluacin de todos los aspectos (o de cualquier porcin de ellos) de los sistemas automticos de procesamiento de la informacin, incluidos los procedimientos no automticos relacionados con ellos y las interfaces correspondientes. El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnologa informtica con el fin de lograr mayor eficiencia operacional y administrativa La auditora es un examen crtico y sistemtico que se realiza una persona o grupo de personas independientes del sistema hacer auditado. Aunque hay tipos de auditora interna y externa. La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Informacin salvaguarda, para mantener la integridad de los datos, para llevar a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos utilizados dentro de la institucin. Auditoria consiste principalmente en que estudiar los mecanismos de control
estn implantados en una empresa u organizacin, determina si los son adecuados y cumplen determinados objetivos o estrategias,
mismos
estableciendo los cambios que se deberan realizar para la consecucin de los mismos. Por otra parte, la Auditora de Sistemas tambin es: La verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.
2
Contendido
La actividad dirigida a verificar y juzgar informacin. El examen y evaluacin de los procesos del Area de Procesamiento automtico de Datos (PAD) y de la utilizacin de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economa de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas. El proceso de recoleccin y evaluacin de evidencia para determinar si un sistema automatizado:
Objetivos especficos de la auditoria de sistemas 1. Participacin en el desarrollo de nuevos sistemas: evaluacin de controles cumplimiento de la metodologa.
2. Evaluacin de la seguridad en el rea informtica. 3. Evaluacin de suficiencia en los planes de contingencia. respaldos, preveer qu va a pasar si se presentan fallas.
5. Control de modificacin a las aplicaciones existentes. fraudes control a las modificaciones de los programas.
6. Participacin en la negociacin de contratos con los proveedores. 7. Revisin de la utilizacin del sistema operativo y los programas utilitarios. control sobre la utilizacin de los sistemas operativos programas utilitarios.
Contendido
Es el objetivo final de una auditora de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del rea de procesamiento de datos
Estudio preliminar Revisin y evaluacin de controles y seguridades Examen detallado de reas criticas Comunicacin de resultados
Estudio preliminar Incluye definir el grupo de trabajo, el programa de auditora, efectuar visitas a la unidad informtica para conocer detalles de la misma, elaborar un
control interno, solicitud de plan de actividades, Manuales de polticas, reglamentos, Entrevistas con los principales funcionarios del PAD.
Revisin y evaluacin de controles y seguridades Consiste de la revisin de los diagramas de flujo de procesos, realizacin de pruebas de cumplimiento de las seguridades, revisin de reas criticas, Revisin de procesos histricos aplicaciones de las Revisin de
(backups),
Examen detallado de reas criticas Con las fases anteriores el auditor descubre las reas criticas y sobre ellas hace un estudio y anlisis profundo en los que definir concretamente su grupo de trabajo y la distribucin de carga del mismo, establecer los motivos, objetivos,
4
Contendido
alcance Recursos que usar, definir la metodologa de trabajo, la duracin de la auditora, Presentar el plan de trabajo y analizar detalladamente cada problema encontrado con todo lo anteriormente analizado.
Comunicacin de resultados Se elaborar el borrador del informe a ser discutido con los ejecutivos de la
empresa hasta llegar al informe definitivo, el cual se presentar esquemticamente en forma de matriz, cuadros o redaccin simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditora. El informe debe contener lo siguiente: Motivos de la Auditora Objetivos Alcance Estructura Orgnico-Funcional del rea Informtica Configuracin del Hardware y Software instalado Control Interno Resultados de la Auditora
Desarrollo del programa de auditora. Un programa de auditora es un conjunto documentado de procedimientos diseados para alcanzar los objetivos de auditora planificados. El esquema tpico de un programa de auditora incluye lo siguiente:
Tema de auditora: Donde se identifica el rea a ser auditada. Objetivos de Auditora: Donde se indica el propsito del trabajo de auditora a realizar. Alcances de auditora: Aqu se identifica los sistemas especficos o unidades de organizacin que determinado.
5
Contendido
Planificacin previa: Donde se identifica los recursos y destrezas que se necesitan para realizar el trabajo as como las fuentes de informacin para
Procedimientos de auditora para: Recopilacin de datos. Identificacin de lista de personas a entrevistar. Identificacin y seleccin del enfoque del trabajo Identificacin y obtencin de polticas, normas y directivas. Desarrollo de herramientas y metodologa para probar y verificar los controles existentes. Procedimientos para evaluar los resultados de las pruebas y revisiones. Procedimientos de comunicacin con la gerencia. Procedimientos de seguimiento.
El programa de auditora se convierte tambin en una gua para documentar los diversos pasos de auditora y para sealar la ubicacin del material de evidencia. Generalmente tiene la siguiente estructura:
Los procedimientos involucran pruebas de cumplimiento o pruebas sustantivas, las de cumplimiento se acuerdo a las hacen para verificar que los controles funcionan de
pruebas o
sustantivas
verifican
establecidos
polticas
Contendido
Tcnicas de recopilacin de evidencias. La recopilacin de material de evidencia es un paso clave en el proceso de la auditora, el auditor de sistemas debe tener conocimiento de cmo puede
recopilar la evidencia examinada. Algunas formas son las siguientes: Revisin de las estructuras organizacionales de sistemas de informacin. Revisin de documentos que inician el desarrollo del sistema, especificaciones de diseo funcional, historia de cambios a programas, manuales de usuario,
especificaciones de bases de datos, arquitectura de archivos de datos, listados de programas, etc.; estos no necesariamente se encontrarn en documentos, sino en medios magnticos para lo cual el auditor deber conocer las formas recopilarlos mediante el uso del computador. Entrevistas con el personal apropiado, las cuales deben tener una naturaleza de descubrimiento no de acusatoria. Observacin de operaciones y actuacin de empleados, esta es una tcnica importante para varios tipos de revisiones, para esto se debe documentar con el suficiente grado de detalle como para presentarlo como evidencia de auditora. Auto documentacin, es decir el auditor puede preparar narrativas en base a su observacin, flujo gramas, cuestionarios de entrevistas realizados. Aplicacin de tcnicas de muestreo para saber cuando aplicar un tipo adecuado de pruebas (de cumplimiento o sustantivas) por muestras. Utilizacin de tcnicas de auditora asistida por computador CAAT, consiste en el uso de software genrico, especializado o utilitario. de
Justificativos para efectuar una Auditora de Sistemas Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos) Desconocimiento en el nivel directivo de la situacin informtica de la empresa Falta total o parcial de seguridades lgicas y fisicas que garanticen la integridad del personal, equipos e informacin. Descubrimiento de fraudes efectuados con el computador Falta de una planificacin informtica
7
Contendido
Organizacin que no funciona correctamente, falta de polticas, objetivos, normas, metodologa, asignacin de tareas y adecuada administracin del Recurso Humano Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados Falta de documentacin o documentacin incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en produccin.
Principales reas de la Auditoria de Sistemas. * Auditora de la Explotacin * Auditora del Desarrollo de proyectos o aplicaciones. * Auditora de Informtica de Sistemas. * Auditora de Comunicaciones y Redes .* Auditora de Seguridad.
Perfil del auditor de sistemas Para poder desempear adecuadamente la funcin de auditora de sistemas, el auditor debe ser un profesional integro, poseedor de excelentes capacidades acadmicas, ticas y morales, tener conocimiento suficiente y experiencia en aspectos informticos a nivel de hardware, software, comunicaciones, en anlisis, diseo, puesta en marcha y mantenimiento de sistemas de informacin. Esta formacin es necesaria y asi lo contempla la Gua Internacional de Auditora N 15. Auditora en un ambiente PED. Prrafos 4 y 5 que dice: Prrafo 4."Cuando se audita en un ambiente PED, el auditor debe tener conocimiento suficiente sobre hardware, software y sistemas de procesamiento en computador, para planear el trabajo y entender como afecta al PED, el estudio y evaluacin del control interno y la aplicacin de los procedimientos de auditora, incluyendo tcnicas de auditoria con ayuda del computador".
Contendido
Prrafo 5."E1 auditor debe tambin tener conocimiento suficiente de PED para implementar los procedimientos de auditora en funcin del enfoque de auditoria que en particular se adopte".
Funciones de la auditoria de sistemas La Auditoria de Sistemas debe realizar las siguientes funciones bsicas: a) Revisar la organizacin administrativa, realizar la evaluacin administrativa del departamento Sistemas. b) Revisar los sistemas informativos en explotacin y en diseo, y realizar la evaluacin de los sistemas y procedimientos , y de la eficiencia que se tiene en el uso de la informacin. Auditoria de los Sistemas Informativos en Explotacin. c) Revisar la actividad que realizan las reas de procesamiento de datos, para realizar la evaluacin del proceso de datos; Auditora a las reas de procesos de Datos. d) Analizar los sistemas informticos que estn en procesos de diseo, para de procesos electrnicos: Auditoria de la Administracin de
garantizar su correccin
Contendido
10