Auditoria de sistemas presen. 1
Transcript of Auditoria de sistemas presen. 1
REPÚBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DEL PODER POPULAR PARA LA DEFENSA
UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA DE LA
FUERZA ARMADA
NÚCLEO CARABOBO - EXTENSIÓN GUACARA
Mayo, 2011
DETERMINACIÓN DEL ÁREA A AUDITAR:
RIESGOS, CONTINGENCIAS
DETERMINACIÓN DEL ÁREA A AUDITAR
Riesgos
Los riesgos deben ser identificados posteriormente
clasificarlos, nuestro sistema objeto de auditoria esta expuesto a dichos
riesgos es por ello se importancia vital realizar esta evaluación.
Los riesgos pueden ser propios o generados por externos, como por
ejemplo: base de datos, redes, personas, entre otras.
Existen escenarios de riesgos y grupos de riesgos
DETERMINACIÓN DEL ÁREA A AUDITAR
Contingencias
Aspectos generales a considerar:
Existencia de un plan de contingencia.
Conocimiento y divulgación del plan de contingencias.
Pruebas y ajustes al plan de contingencias.
Planes de respaldo (a nivel de personal, software y hardware) y
recuperación.
Elaboración y gestión de copias de seguridad (Backups)
PERSONAL PARTICIPANTE
El personal de auditoría interna/control debe formar parte del grupo
de diseño para sugerir y solicitar la implantación de rutinas de control.
Éste es un punto muy importante ya que, de no tener el apoyo de la
alta dirección, ni contar con un grupo multidisciplinario en el cual estén
presentes una o varias personas del área a auditar, sería casi imposible
obtener información en el momento y con las características deseadas.
Como colaboradores directos en la realización de la auditoria se deben
tener personas con las siguientes características:
Técnico en informática.
Experiencia en el área de informática.
Experiencia en operación y análisis de sistemas.
Conocimientos de los sistemas más importantes.
INVESTIGACIÓN PRELIMINAR
1.- Evaluación de sistemas
Los sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente
siguen: requerimientos del usuario, estudio de factibilidad, diseño general,
análisis, diseño lógico, desarrollo físico, pruebas, implementación, evaluación,
modificaciones, instalación, mejoras. Y se vuelve nuevamente al ciclo inicial, el
cual a su vez debe comenzar con el de factibilidad.
La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe
analizar si el sistema es factible de realizarse, cuál es su relación costo/beneficio
y si es recomendable elaborarlo.
2.- Evaluación del análisis
Es importante revisar la situación en que se encuentran los manuales de
análisis y si están acordes con las necesidades de la dependencia.
Con la información obtenida podemos contestar a las siguientes preguntas:
¿Se está ejecutando en forma correcta y eficiente el proceso de información?
¿Puede ser simplificado para mejorar su aprovechamiento?
¿Se debe tener una mayor interacción con otros sistemas?
¿Se tiene propuesto un adecuado control y seguridad sobre el sistema?
¿Está en el análisis la documentación adecuada?
INVESTIGACIÓN PRELIMINAR
3.- Evaluación del diseño lógico del sistema
Los puntos a evaluar son:
Entradas.
Salidas.
Procesos.
Especificaciones de datos.
Especificaciones de proceso.
Métodos de acceso.
Operaciones.
Manipulación de datos (antes y después del proceso electrónico de
datos).
Proceso lógico necesario para producir informes.
Identificación de archivos, tamaño de los campos y registros.
Proceso en línea o lote y su justificación.
Frecuencia y volúmenes de operación.
Sistemas de seguridad.
Sistemas de control.
Responsables.
Número de usuarios. Al tener el análisis del diseño lógico del sistema
debemos compararlo con lo que realmente se está obteniendo en la cual
debemos evaluar lo planeado, cómo fue planeado y lo que realmente se
está obteniendo.
INVESTIGACIÓN PRELIMINAR
4. Evaluación del desarrollo del sistema
Al evaluar un sistema de información se tendrá presente que todo sistema debe
proporcionar información para planear, organizar y controlar de manera eficaz y
oportuna, para reducir la duplicidad de datos y de reportes y obtener una mayor
seguridad en la forma más económica posible.
Las características que deben evaluarse en los sistemas son:
Dinámicos (susceptibles de modificarse).
Estructurados (las interacciones de sus componentes o subsistemas deben
actuar como un todo)
Integrados (un solo objetivo). En él habrá sistemas que puedan ser
interrelacionados y no programas aislados.
Accesibles (que estén disponibles).
INVESTIGACIÓN PRELIMINAR
Necesarios (que se pruebe su utilización).
Comprensibles (que contengan todos los atributos).
Oportunos (que esté la información en el momento que se requiere).
Funcionales (que proporcionen la información adecuada a cada nivel).
Estándar (que la información tenga la misma interpretación en los distintos
niveles).
Modulares (facilidad para ser expandidos o reducidos).
Jerárquicos (por niveles funcionales).
Seguros (que sólo las personas autorizadas tengan acceso).
Únicos (que no duplique información).
INVESTIGACIÓN PRELIMINAR
Investigación Preliminar
5.- Control de diseño de sistemas y programación
El objetivo es asegurar que el sistema funcione de manera eficiente, con el fin de
que el usuario tenga la suficiente para el manejo de operaciones con su aceptación,
haciendo sus revisiones de manera fluida en la programación.
6.- Entrevista a Usuarios
Se lleva a cabo para comprobar si está satisfecho con el sistema con el fin de
recopilar esa información para su mejoría en las aplicaciones computarizada.
7.- Controles
Siendo los datos uno de los recursos de mayor valor por eso debe ser controlado
para una buena distribución de la información auditada con el mismo cuidado.
8.- Orden en el centro de Cómputo
Un centro de cómputo debe ser bien administrado teniendo en cuenta las reglas e
normas en el cuidado de la misma. Para que ningún equipo pueda ser dañado por
uso inadecuado en la cuales puede ser costoso para la empresa en su
mantenimiento sin necesidad.
Investigación Preliminar
9.- Evaluación de la configuración del sistema de cómputo
Se realiza esta configuración tomando en cuenta las aplicaciones adecuada y el
nivel de su uso, evaluando el grado de eficiencia satisfaciendo las necesidades en
su instalación para conservar su programación.
10.- Seguridad lógica y confidencial
La computadora como instrumento bien estructurado guarda informaciones que
puede ser confidencial para los usuarios de empresas, instituciones o persona
natural y puede llevar a ser mal utilizada por persona con poco conocimiento de la
misma o por sabotaje informativo que provoque el colazo de la maquina
computacional.
Ejecución
Se realiza a través de una evaluación para determinar si su funcionabilidad ha sido
adecuada o no para elaborar sus conclusiones y recomendaciones después de la
audición.
Los elementos más importantes en su fase de ejecución:
Las pruebas de auditoría.
Técnicas de muestras.
Evidencia de auditoría.
Papeles de trabajo,
Hallazgos de auditoría.
Preparación de informe
El debe contener al menos:
Los estados financieros o del área administrativa
Auditada.
Informe sobre la estructura del control interno de la entidad.
Conclusiones y recomendaciones resultantes de la auditoria.
Debe detallarse en forma clara y sencilla, los hallazgos encontrados