Blog de audidsitemas

No es Solo un Blog de Auditoria

Claudia Isabel Ruiz Paul Antony Luque Diana Marcela Galindo Corporación Universitaria Minuto de Dios

GENERALIDADES DE LA AUDITORIA DE SISTEMAS

Escrito por audidsitemas 12-02-2018 en Educación. Comentarios (0)

1.  Misión de la auditoria

La misión de la auditoria es velar por los bienes comunes de las empresas y por qué estos puedan fluir con normalidad, es llevar un estudio a fondo sobre el desarrollo y actividades que realiza la empresa para así acompañarlo en su crecimiento dando lineamientos para la satisfacción y cumplimiento de las normas

2.  Estándares de la auditoria de sistemas

·  COBIT: en una herramienta que proporciona un panorama o una realidad de los riesgos que puede sufrir la empresa con el objetivo de controlar las tecnologías de la información dando como resultado eficacia y efectividad en quienes lo manejan

·  ISO: es una organización que establece parámetros para llevar la información y dependiendo el sector da pautas para el buen funcionamiento y desarrollo de procedimeintos en las empresas en este caso la de la información que estas manejan

  • ISO 27001
  • ISO 15504 (Spice): Sistema de calidad de productos software
  • ISO 12207: establece un marco de referencia
  • ISO/IEC 17799 (denominada también como ISO 27002) es un estándar para la seguridad de la información.

3.  Análisis de riesgo y controles de la auditoria de sistemas

La evaluación y análisis de riesgo identifica, mide y prioriza el riesgo, por ello cuando se realiza una auditoria se debe realizar en los puntos principales y más relevantes.

La evaluación y análisis del riesgo permite al auditor diseñar un programa de gestión que examine más a fondo los controles más relevantes o los cuales considere de mayor profundidad

Para ello existen 3 niveles de riesgo los cuales son:

  • Riesgo Inherente
  • Riesgo de control
  • Riesgo de detección

Los cuales ayudan a determinar la calidad y el nivel de reesgo que pueden llegar a sufrir las entidades con la información que estas manejan a diario y como prevenir un fraude con la información

4.  Definición (Auditoria de sistemas)

La Auditoría Informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos ya que esta lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, cumple con las leyes y regulaciones establecidas.

5.  Definición de Control Interno:

Es el plan mediante el cual una organización establece principios, métodos y procedimientos que coordinados y unidos entre sí, buscan proteger los recursos de la entidad y prevenir y detectar fraudes y errores dentro de los diferentes procesos desarrollados en la empresa. Además, hace parte de un proceso que debe ser ejecutado de forma conjunta por la junta directiva de la empresa, la gerencia y por todo el recurso humano de la misma, está integrado por:

  • Planes
  • Métodos
  • Principios
  • Normas
  • Procedimientos
  • Mecanismos

Funciones del Control Interno:

  • Proteger los recursos de la organización, buscando su adecuada administración ante posibles riesgos que los afecten.
  • Garantizar la eficacia y la eficiencia en todas las operaciones promoviendo y facilitando la correcta ejecución de las funciones y actividades definidas para el logro de la misión de la organización.
  • Velar porque todas las actividades y recursos de la organización estén dirigidos al cumplimiento de los objetivos de la entidad.
  • Garantizar la correcta evaluación y seguimiento de la gestión organizacional.
  • Asegurar que los registros y la información generada como producto de las actividades realizadas por la organización, sean elaborados y presentados de manera oportuno y que dicha información sea confiable.
  • Definir y aplicar medidas para prevenir los riesgos, así como también  detectar y corregir errores que se presenten en la organización y que puedan afectar el logro de sus objetivos.
  • Garantizar que el Sistema de Control Interno disponga de sus propios mecanismos de verificación y evaluación.

6.   Controles en un Centro de Cómputo

El control interno que se  realice a los sistemas informáticos, permite obtener diagnósticos de las diferentes dependencias, indicando riesgos y debilidades que una vez detectados nos ahorran recursos humanos, físicos y financieros de la entidad, si son corregidos a su debido tiempo.

Las áreas de control en los centros de cómputo son:

1-  Control de entrada y salida

2-  Biblioteca de medios magnéticos

3-  Operación del equipo de procesamiento

4-  Controles ambientales y de seguridad física

5-  Recuperación de desastres

6-   Reportes de mal funcionamiento

7-   Cambios de software operacional

8-   Seguridad lógica

9-   Manuales de documentación

Inspección y Comprobación:

1-  Que los códigos de identificación y autorización de los usuarios estén adecuadamente controlados para prevenir accesos no autorizados.

2-  Que las terminales que permiten el acceso  al sistema cuenten con los controles adecuados para prevenir el uso fraudulento.

3-  Que las alteraciones de seguridad accidental o intencional sean reportadas a la administración de procesamiento electrónico de datos.

4-  Que las intervenciones de los operadores del centro de cómputo sean registrados en el log del sistema y que este registro sea cuidadosamente revisado.

5-  Que se cambien los códigos de acceso, cuando se retiren empleados claves

6-  Que constantemente se revise por un experto en seguridad  todos los procesos de informática

7.   Controles Administrativos de la Auditoria de Sistemas

·  Preinstalación: Hardware y software

·  Organización y planeación: Línea de autoridad y responsabilidad

·  Sistemas de desarrollo y producción: sistemas documentados y actualizados

·  Procesamiento: Ciclo de la información

·  Operación: Detectar errores, evitar fraudes, integridad de la información, utilización adecuada

·  Uso de Microcomputadoras: Virus, Sistemas operativos, mantenimiento preventivo y correctivo, variaciones de voltaje, incendios, robos, pólizas de seguros.

8.   Controles en la Entrada de Datos

La mayoría de las transacciones de procesamiento electrónico de datos comienza con procedimientos de entrada de datos. En términos generales, cualquiera que sea el ambiente en que se procesan los datos, se hace necesario efectuar el control de ingreso para asegurar que cada transacción a ser procesada cumpla con los siguientes requisitos:

1- Se debe recibir y registrar con exactitud e íntegramente.
2- Se deben procesar solamente datos válidos y autorizados.
3- Se deben ingresar los datos una vez por cada transacción.

  Puntos de Control

·  Transacciones en línea.

·   Usuario y operador.

·   Terminal o dispositivo de entrada de datos.

9.   Que es Auditoria de Bases de Datos

Es un proceso implementado por los auditores de sistemas con el fin de auditar los accesos a los datos, por lo general siguiendo bien una metodología basada en un checklist que contempla los puntos que se quieren comprobar o mediante la evaluación de riesgos potenciales., por lo tanto, facilita herramientas eficaces para conocer de forma exacta cuál es la relación de los usuarios a la hora de acceder a las bases de datos, incluyendo las actuaciones que deriven en una generación, modificación o eliminación de datos.

10.    Que es Auditoria de Desarrollo de Sistemas

Se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

Fases

·  Análisis de Requisitos

·  Diseño y Arquitectura

·  Programación

·  Pruebas

·  Documentación

·  Mantenimiento

11.   Auditoria de Redes

Son mecanismos en los cuales se pone a prueba una red informática, en donde se evalúan el desempeño y la seguridad, para una eficiente y segura utilización de la información.

Existen las siguientes etapas:

  • Estrategia de Saneamiento
  • Análisis de la vulnerabilidad
  • Plan contención ante posibles incidento
  • Seguimiento continuo del desempeño del sistema

OBJETIVOS

  • Realizar investigaciones especiales solicitadas por la dirección
  • Preparar informes de auditoria acerca de las irregularidades que pudiesen encontrarse como resultado de las investigaciones realizadas
  • Registrar un coste de comunicaciones y reparto a encargados
  • Mejorar el rendimiento y la resolución de problemas presentados en la red
  • Tener una gerencia de comunicaciones con plena autoridad de voto y acción.


INSTRUMENTOS DE EVALUACIÓN

  • Entrevista
  • Cuestionarios
  • Encuestas
  • Observación
  • Inventarios
  • Muestreo
  • Experimentación

12. Implementación de R.A.S.

  • Manejadores de bases de datos


Es una colección de software muy específico, cuya función es servir de interfaz entre la base de datos, el usuario y las distintas aplicaciones utilizadas, como (SGBD, DataBase Managemet System (DBMS), estos son conjuntos de programas que manejan acceso a la base de datos el objetivo es servir de interfaz entre esta y el usuario.


  • Elaboración de estructuras de archivos

Para esto hay que comprender conceptos con los archivos computacionales, en la cual se desarrollan técnicas para el procesamiento de datos, donde se manejan métodos y estructuras de datos que un sistema operativo el cual se utiliza para seguir la pista de los archivos de un disco o partición y así se organizan los archivos en el disco duro.

  • Creación de rutinas de auditoria de sistemas.

  1. Las revisiones han de ser efectuadas por personas con conocimientos técnicos adecuados y capacitados como auditores 
  2. El trabajo debe planificarse adecuadamente ejerciéndose la debida supervisión por parte del auditor de mayor experiencia
  3. Debe obtener suficiente información (mediante inspección, observación, investigación y confirmaciones) como fundamento de trabajo
  4. Tanto en la realización del examen como en la preparación del informe debe mantener el debido rigor profesional.




PASOS PARA UNA AUDITORIA DE SISTEMAS

Escrito por audidsitemas 12-02-2018 en Educación. Comentarios (0)

PASOS A SEGUIR

Se requieren varios pasos para realizar una auditoria. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoria que consta de objetivos de control y procedimientos de auditoria que deben satisfacer esos objetivos. El proceso de auditoria exige que el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditoria que presente esos temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditoria debe garantizar una disponibilidad y asignación adecuada de recursos para realizar el trabajo de auditoria además de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia.


busqueda


INFORME

En si todos los encuestados respondieron la totalidad de las preguntas. Todos tienen la misma respuesta en la pregunta sobre la inteligencia artificial, todos dicen prácticamente lo mismo acerca de lo que es la auditoria de sistemas en que es un sistema de revisión, evaluación, verificación y evalúa la eficiencia y eficacia con que se está operando los sistemas y corregir los errores de dicho sistema. Todos los encuestados mostraron unas características muy similares de las personas que van a realizan la auditoria; debe haber un contador, un ingeniero de sistemas, un técnico y que debe tener conocimientos, práctica profesional y capacitación para poder realizar la auditoria. Todos los encuestados conocen los mismos tipos de auditoria, Económica, Sistemas, Fiscal, Administrativa. Para los encuestados el principal objetivo de la auditoria de sistemas es Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles. Mirando en general a todos los encuestados se puede ver que para ellos la auditoria de sistemas es muy importante porque en los sistemas esta toda la información de la empresa y del buen funcionamiento de esta depende gran parte del funcionamiento de una empresa y que no solo se debe comprender los equipos de cómputo sino también todos los sistemas de información desde sus entradas, procedimientos, controles, archivos, seguridad y

Obtención de información. La auditoria de los sistemas de informática es de mucha importancia ya que para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad.

PREGUNTAS Y POSIBLES RESPUESTAS

1. ¿Sabe usted que es la inteligencia artificial?

Inteligencia Artificial es una ciencia que intenta la creación de programas para máquinas que imiten el comportamiento y la comprensión humana, que sea capaz de aprender, reconocer y pensar.

2. ¿Qué sabe usted de la Auditoria de sistemas?

La auditoría de sistemas es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para Una adecuada toma de decisiones.

a. ¿Cree usted que el personal participante en la auditoria es importante

si o no?

Si por que una de las partes más importantes dentro de la planeación de la auditoria sistemas es el personal que deberá participar y sus características.

3. ¿Qué características cree usted que debe tener estas personas?

Se debe considerar las características de conocimientos, práctica profesional

y capacitación que debe tener el personal que intervendrá en la auditoria. En primer lugar se debe pensar que hay personal asignado por la empresa.

Como el ingeniero en sistemas y Técnicos

4. ¿Cómo planificaría usted una auditoria de sistemas?

Yo la haría siguiendo una serie de pasos previos que me permitan dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

5. ¿Qué haría Usted para que la planeación de los sistemas de auditoria fueran cada vez mejor?

Pues yo haría una planeación cada vez mejor y eficaz.

6. ¿Haría usted antes de cada auditoria de sistemas una investigación preliminar si o no y como la haría?

Si la haría observando el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización.

7. ¿qué diferencia y semejanza ve usted en la auditoria de sistemas y la auditoria financiera?

Que la financiera se enfoca en la Veracidad de estados financieros preparación de informes de acuerdo a principios contables, evalúa la eficiencia, operacional y Eficacia y la de sistemas Se preocupa de la función informática

8. ¿Cómo sería una Evaluación de Sistemas?

La evaluación debe ser con mucho detalle, para lo cual se debe revisar si existen realmente sistemas entrelazados como un todo o bien si existen programas aislados. Otro de los factores a evaluar es si existe un plan estratégico para la elaboración de los sistemas o si se están elaborados sin el adecuado señalamiento de prioridades y de objetivos.

9. ¿Cree usted que debería haber un control de proyectos en la auditoria de sistemas?

Si debe haber un control ya que debido a las características propias del análisis y la programación, es muy frecuente que la implantación de los sistemas se retrase y se llegue a suceder que una persona lleva trabajando varios años dentro de un sistema o bien que se presenten irregularidades en las que los programadores se ponen a realizar actividades ajenas a la dirección de sistemas. Para poder controlar el avance de los sistemas, ya que ésta es una actividad de difícil evaluación.

10. ¿Qué clases de auditoria conoce?

Financiera, Económica, Sistemas, Fiscal, Administrativa.

11 ¿Cuáles cree usted que son los objetivos principales de una auditoria de sistemas?

• Buscar una mejor relación costo - beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD

• Incrementar la satisfacción de los usuarios de los sistemas computarizados

• Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.

• Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.

• Seguridad de personal, datos, hardware, software e instalaciones

• Apoyo de función informática a las metas y objetivos de la organización