Aud

itorí

a In

form

átic

a:

Aud

itorí

a In

form

átic

a:

Dic

tam

en d

e la

Aud

itorí

aD

icta

men

de

la A

udito

ría DDictamen de la ictamen de la

AAuditoría uditoría IInformáticanformática

Aud

itorí

a In

form

átic

a:

Aud

itorí

a In

form

átic

a:

Dic

tam

en d

e la

Aud

itorí

aD

icta

men

de

la A

udito

ría

AAuditoría uditoría IInformáticanformática

Aud

itorí

a In

form

átic

a:

Aud

itorí

a In

form

átic

a:

Dic

tam

en d

e la

Aud

itorí

aD

icta

men

de

la A

udito

ría

Una vez que el proyecto de auditoría ha terminado se procede a la elaboración de un documento final que refleje las

observaciones, debilidades, áreas de oportunidad, acciones de mejoramiento, plazos sugeridos para su realización,

responsables y personas involucradas.

¿A quiénes va dirigido?

Aud

itorí

a In

form

átic

a:

Aud

itorí

a In

form

átic

a:

Dic

tam

en d

e la

Aud

itorí

aD

icta

men

de

la A

udito

ría

•Director del negocio o gerente general.•Director o gerente de las áreas usuarias auditadas.•Director o gerente de informática.•Director o gerente de auditoría en informática.•Director o gerente de auditoría (si a si lo establecen las políticas de la empresa.)

Aud

itorí

a In

form

átic

a:

Aud

itorí

a In

form

átic

a:

Dic

tam

en d

e la

Aud

itorí

aD

icta

men

de

la A

udito

ría

•Director o gerente de las áreas usuarias auditadas.•Director o gerente de informática.•Director o gerente de auditoría (si así lo establecen las políticas de la empresa.)

¿Quiénes revisan y aprueban el documento final?A

udito

ría

Info

rmát

ica:

A

udito

ría

Info

rmát

ica:

D

icta

men

de

la A

udito

ría

Dic

tam

en d

e la

Aud

itorí

a

Requisitos del informe de auditoría en informática.

•Ser veraz.•Estar documentado formalmente•Mostrar las observaciones (debilidades) encontradas•Contar con recomendaciones y soluciones para cada observación•Reflejar las áreas de oportunidad y cursos de acción

Aud

itorí

a In

form

átic

a:

Aud

itorí

a In

form

átic

a:

Dic

tam

en d

e la

Aud

itorí

aD

icta

men

de

la A

udito

ría

Desarrollo del Informe

Los puntos esenciales de un Informe de Auditoría son:

• Identificación del Informe• Identificación del Cliente • Identificación de la Entidad auditada • Objetivos de la Auditoría Informática

Aud

itorí

a In

form

átic

a:

Aud

itorí

a In

form

átic

a:

Dic

tam

en d

e la

Aud

itorí

aD

icta

men

de

la A

udito

ría

• Normativa aplicativa y excepciones • Alcance de la Auditoría • Conclusiones. Informe corto de opinión • Resultado. Informe largo y otros informes • Resultado • Fecha del Informe • Identificación y firma del Auditor • Distribución del Informe• Conclusiones

Aud

itorí

a In

form

átic

a:

Aud

itorí

a In

form

átic

a:

Dic

tam

en d

e la

Aud

itorí

aD

icta

men

de

la A

udito

ría

Modelo de un Informe de Auditoría

Fecha del Informe:

NOMBRE DE LA ENTIDAD Auditoría de ........

Objetivo .........

Lugar de la Auditoría ...........

Grupo de Trabajo de Auditoría ...........

Fecha de Inicio de la Auditoría..........

Tiempo estimado del proceso de revisión X hs

Aud

itorí

a In

form

átic

a:

Aud

itorí

a In

form

átic

a:

Dic

tam

en d

e la

Aud

itorí

aD

icta

men

de

la A

udito

ría

Fecha de Finalización de la Auditoría..........

Herramientas utilizadas ..........

Alcance ..........

Procedimientos a aplicar...........

Informe de debilidades detectadas ….

Aud

itorí

a In

form

átic

a:

Aud

itorí

a In

form

átic

a:

Dic

tam

en d

e la

Aud

itorí

aD

icta

men

de

la A

udito

ría

Situación planteada

• En una “Compañía de Seguros” se llevó a cabo la “Auditoría de una Base de Datos”. Esta BD operativa es utilizada por todos los sistemas existentes en la empresa.

Ejemplo de un Informe de Auditoría

Aud

itorí

a In

form

átic

a:

Aud

itorí

a In

form

átic

a:

Dic

tam

en d

e la

Aud

itorí

aD

icta

men

de

la A

udito

ría

• Se cuenta con una BD Oracle 7.3 instalada en un Server, al cual tienen acceso 40 terminales. Existen desarrolladores y usuarios finales que acceden a la misma por medio de la autorización otorgada por el DBA (Administrador de la BD).

Aud

itorí

a In

form

átic

a:

Aud

itorí

a In

form

átic

a:

Dic

tam

en d

e la

Aud

itorí

aD

icta

men

de

la A

udito

ría

Situación planteada

• Se observa que:- la BD tiene los siguientes objetos definidos: tablas, views (vistas) y sequence- el personal a cargo del mantenimiento de la BD realiza 1 copia de resguardo al final del día.

Ejemplo de un Informe de Auditoría

Aud

itorí

a In

form

átic

a:

Aud

itorí

a In

form

átic

a:

Dic

tam

en d

e la

Aud

itorí

aD

icta

men

de

la A

udito

ría

realiza 1 copia de resguardo al final del día.- hasta el momento, la BD cuenta con más de 2 millones de registros.

Aud

itorí

a In

form

átic

a:

Aud

itorí

a In

form

átic

a:

Dic

tam

en d

e la

Aud

itorí

aD

icta

men

de

la A

udito

ría

Fecha del Informe: 12 / 06 / 2008 Nombre de la Entidad: Seguros S.A. AUDITORIA DE UNA BASE DE DATOS ObjetivoControlar la definición y existencia de los objetos necesarios para la normal utilización de una BD y para mejorar su performance.Lugar de la Auditoría : Área de Sistemas Grupo de Trabajo de Auditoría : Lic. Jorge Gorostiza

Lic. Gustavo Barrientos

Informe de Auditoría

Aud

itorí

a In

form

átic

a:

Aud

itorí

a In

form

átic

a:

Dic

tam

en d

e la

Aud

itorí

aD

icta

men

de

la A

udito

ría

Lic. Gustavo BarrientosFecha de Inicio de la Auditoría : 12 / 05 / 2008Tiempo estimado del proceso de revisión : 30 hrs.Fecha de Finalización de la Auditoría : 19 / 05 / 2008Herramientas utilizadas - Metodología de auditoría de objetivos de control- Utilitarios estándar AlcanceControlar la definición y existencia de todos los objetos que son necesarios en la BD y que son utilizados por los distintos sistemas de la empresa.

Aud

itorí

a In

form

átic

a:

Aud

itorí

a In

form

átic

a:

Dic

tam

en d

e la

Aud

itorí

aD

icta

men

de

la A

udito

ría

Objetos

- ¿Las tablas definidas en el diseño coinciden con las fueron creadas en la BD teniendo en cuenta nombres de las tablas, columnas y tipos de datos de las columnas?- ¿Están definidas las claves primarias (PK) y claves externas (FK) de

Procedimientos a aplicar :A

udito

ría

Info

rmát

ica:

A

udito

ría

Info

rmát

ica:

D

icta

men

de

la A

udito

ría

Dic

tam

en d

e la

Aud

itorí

a

- ¿Están definidas las claves primarias (PK) y claves externas (FK) de c/ tabla existente?- ¿Existen las secuencias (sequences) correspondientes a la clave primaria (PK) de c/ tabla definida?- ¿La BD tiene vistas (views) respecto de algunas tablas?- Para mejorar el performance del sistema, ¿el DBA definió que sean necesarios según los casos?- ¿Existe documentación actualizada respecto del diseño e implementación de la BD?

Aud

itorí

a In

form

átic

a:

Aud

itorí

a In

form

átic

a:

Dic

tam

en d

e la

Aud

itorí

aD

icta

men

de

la A

udito

ría

Datos

-¿Con qué frecuencia se realiza una copia de resguardo (backup)

respecto de la BD?

- ¿Cada cuánto tiempo se realiza una actualización de los datos

existentes?

Aud

itorí

a In

form

átic

a:

Aud

itorí

a In

form

átic

a:

Dic

tam

en d

e la

Aud

itorí

aD

icta

men

de

la A

udito

ría

Usuarios

- ¿Cuántos usuarios tienen acceso a la BD?

- ¿Cuántos usuarios actúan como desarrolladores respecto de la BD?

- ¿Cuántos usuarios son usuarios finales de la BD?

- ¿Cuáles son los roles y privilegios establecidos por el DBA?

- ¿Todos los usuarios tienen definido un rol determinado?

Aud

itorí

a In

form

átic

a:

Aud

itorí

a In

form

átic

a:

Dic

tam

en d

e la

Aud

itorí

aD

icta

men

de

la A

udito

ría

SITUACIONACTUAL

RECOMENDACION COMENTARIOSDE LA GERENCIA DE SISTEMAS

No existen índices que permitan mejorar el performance del sistema

Crear los índices que correspondan de acuerdo con las aplicaciones que fueron desarrolladas.

De acuerdo(Sr. Gerente de Sistemas)

Debido al caudal de información que maneja la

Informe de las debilidades detectadas

Aud

itorí

a In

form

átic

a:

Aud

itorí

a In

form

átic

a:

Dic

tam

en d

e la

Aud

itorí

aD

icta

men

de

la A

udito

ría

CONCLUSIONES ......... El equipo de auditores considera que la empresa NO realiza las tareas de actualización y mantenimiento necesarias, las cuales son esenciales para el normal funcionamiento de la misma y para el cumplimiento de los objetivos establecidos en las distintas áreas de la empresa.

Se realiza una copia diaria de resguardo (backup)

información que maneja la empresa, se sugiere realizar 2 backups diarios, uno a mitad del día y otro al final del día.

De acuerdo(Sr. Gerente de Sistemas)