Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
AUDITORIA DE SISTEMAS
{
Gestin informtica
Controles generales
Proceso de adquisicin
Planificacin
PROCESOS Seguridad
Mantenimiento de equipos y sistemas
Diseo y desarrollo de sistemas
Evaluacin y anlisis de riesgos
El Cambio
Se refiere a que se debe dejar de ser revisores y convertirse en asesores y consultores en
aquellos puntos o aspectos de la tecnologa de informacin en que ha venido fallando
desde sus inicios como es el ciclo de vida del desarrollo del sistema.
Es importante que nos pongamos a realizar el cambio que se necesita como para que
entiendan una serie de aspectos que se han dejando delado y que son bsicos para lograr
que sea el diseo de informacin como los requiere nuestras informaciones y que tengan
las protecciones, seguridad y controles que permitan su adecuado y correcto
funcionamiento para soportar el intento de cometer actos irregulares.
Tipos De Auditorias
1. Auditoria financiera
2. Auditoria de sistemas
3. Auditoria fiscal
4. Auditoria administrativa
AUDITORIA FINANCIERA.
Se encarga de analizar la veracidad de los estados financieros. Preparacin de informe
de acuerdo a principios contables y evala la eficiencia, economa de los mtodos y
procedimientos que rigen un proceso de una empresa.
AUDITORIA DE SISTEMAS.
Esta auditoria se preocupa de las funciones informticas.
AUDITORIA FISCAL.
Se dedica a observar el cumplimiento de las leyes fiscales.
AUDITORIA ADMINISTRATIVA.
Es la encargada de verificar los procedimientos administrativos en la empresa como
son:
Anlisis.
Logros de los objetivos de la administracin
Desempeo de las funciones administrativas
Evaluacin
Calidad, mtodos, control de los bienes y servicios
Revisa la contribucin a la sociedad social.
Objetivos De La Auditoria
REAS A ASESORAR
Las reas que se consideran de mayor importancia dentro del ciclo de vida de un
sistema (CVDS.) en lo que los auditores pueden asesorar a la alta direccin y a los
encargados de llevar acabo los procesos de diseo y desarrollo son:
Es esencial para todo proceso estos tres conceptos se redacten, se integren en manuales,
se divulguen, se apliquen y establezcan sanciones para quienes los incumplan o traten
de hacer.
La metodologa y tcnicas de desarrollo deben estar sustentadas en estos tres conceptos.
2. PLANIFICACIN
Desarrollo
Mantenimiento
Contingencias
Adquisiciones
Vacaciones
Recuperacin en caso de desastre
Estos y cualquier otro relacionados deben estar por escrito; actualizados, ser divulgados,
adems deben estar integrados con los planes generales de la organizacin en los tres
conceptos tradicionales:
Estratgicos
Operacionales
Tcnicos.
Debe establecerse como poltica que antes de iniciar el diseo y desarrollo de cualquier
paliacin se realice un estudio administrativo del sistema con el fin de detectar antes de
automatizarlo cualquier problema, anomala, deficiencia o situacin que requiera
atencin para no trasladarlo estas situaciones a la aplicacin.
Este estudio servir a la vez para revisar los procesos, procedimientos, funciones, tareas,
etc. Que de alguna manera se utilice tambin para realizar reingeniera.
4. ESTUDIO DE FACTIBILIDAD.
a. Factibilidad Tecnolgica:
Que la tecnologa seleccionada funcione de manera correcta y adecuada, una vez
puesto en operacin el sistema. La aplicacin soportara cambios sustanciales en
la tecnologa sin tener que realizar modificaciones importantes en l.
b. Factibilidad Operacional
Que el sistema una vez puesto en operacin funciones de acuerdo con los
criterios bajo los cuales se dise y que no ofrezca problemas de carcter tcnico
y administrativo.
c. Factibilidad Econmica:
Que los beneficios tangibles e intangibles superen a los costos; que loa ndice
financieros que se calculen sean aceptables, de acuerdo con polticas y
estndares generales, especificaciones y que el presupuesto del proyecto este
contemplado dentro de estos estndares.
Como mnimo deben calcular las siguientes razones:
Tasa interna de retorno
Valor neto presente
Periodo de recuperacin
Total de los beneficios netos
Dependiendo de los resultados de este estudio se determinar si se continua o
no con el proyecto.
5. ADMINISTRACIN DE PROYECTOS:
6. SEGURIDAD
1. Seguridad fsica
2. Seguridad lgica
7. PROCESO DE ADQUISICIN
CONTROLES
a) Controles preventivos:
Son aquellos que reducen la frecuencia con que ocurren las causas de riesgo.
Ejm:
Letrero no fumar par salvaguardar las instalaciones
Sistema de claves de acceso.
b) Controles detectivos
Son aquellos que no evitan que ocurra las causas de riesgo, si no loa detectan luego de
ocurrido.
Son los ms importantes para el auditor. En cierta forman sirven para evaluar la
eficiencia de los controles preventivos.
Ejm:
Procedimientos de validacin
Archivos y procesos que sirven como pistas para la auditoria.
c) Controles correctivos
Ayudan a la investigacin, correccin de las causas del riesgo. La correccin adecuada
puede resultar difcil e ineficiente, siendo necesaria la implementacin de controles
detectivos.
Validacin de campos
Validacin de excesos
4. Conteo De Registros
Consiste en crear campos de memoria para ir acumulando cada registro que se ingrese y
verificar con los totales ya registrados.
5. Totales De Control
Se realiza mediante la creacin de totales de lneas, columnas, cantidades de
formularios, cifras de control, etc. Y automticamente verificar con un campo en el cual
se va acumulando los registros.
6. Verificacin De Lmites
Consiste en la verificacin automtica de tablas, cdigo lmite mximo, limite mnimo o
bajo determinadas condiciones dadas preventivamente.
1. Controles De Preinstalacin
Hacen referencia a proceso y actividades previos a la adquisicin o instalacin de un
equipo de computacin y a la automatizacin de los sistemas existentes.
Objetivos.
Acciones a seguir:
Elaboracin de un informe tcnico en el que se justifique de la adquisicin de
equipos, software y servicios de computacin.
Formacin de un comete que coordine y se responsabilice de la adquisicin e
instalacin de equipos.
Elaboracin de un plan de instalacin de equipos (fechas, actividades y
responsables)
Asegurar el respaldo de mantenimiento y asistencia tcnica.
Acciones a seguir:
Las funciones de operacin, programacin y diseo de un sistema deben
estar claramente delimitadas.
El manejo y custodia de dispositivos y archivos magnticos deben estar
expresamente definidos por escrito.
Las actividades del rea de informtica deben de obedecer a evaluaciones
del cumplimiento del plan.
Acciones a seguir:
Los usuarios deben de participar en el diseo e implementacin de los
sistemas, pues aportan conocimientos y experiencia de su rea.
El personal de auditoria debe formar parte del grupo de diseo para
seguir y solicitar la implantacin de rutinas de control.
El desarrollo y mantenimiento tcnico de los sistemas obedecen a planes
especficos, metodolgicos, procedimientos y normatividad escrita y
aprobada.
Cada fase concluida debe ser aprobada por los usuarios mediante actas u
otros mecanismos para evitar reclamos.
Los programas antes de pasar a produccin deben ser probados con datos
que agoten las acepciones posibles.
Todos los sistemas deben estar debidamente documentados. La
documentacin debe contener:
Estudios de factibilidad
Diagrama de bloques
Objetivos del programa
Formatos de salida
Resultados de pruebas realizadas
Manual de usuario
El programa ser entregado al usuario previo entrenamiento.
4. Controles De Procesamiento
Se refiere al ciclo que sigue la informacin desde la entrada hasta la salida, lo
que conlleva al establecimiento de una serie de seguridades para:
Asegurar que todos los datos sean procesados.
Garantizar la exactitud que se grave un archivo para el uso de gerencia y con
fines de auditoria.
Asegurar que los resultados sean entregados a los usuarios en forma
oportuna y en las mejores condiciones.
Acciones a seguir:
Validacin de datos de entrada. Previo procesamiento debe ser realizado en
forma automtica.
Preparacin de datos de entrada, responsabilidad de los usuarios, por lo tanto su
correccin.
CONTROLES DE OPERACIN
Acciones a seguir:
El acceso del centro de cmputo debe contar con las seguridades necesarias para
reservar el ingreso al personal autorizado.
Mantener un registro de todos los procesos realizados dejando constancia de la
cancelacin de dicho proceso.
Los operadores del equipo central deben de estar entrenados para recuperar o restaurar
informacin en caso de destruccin de archivos.
Los backups no deben ser menores de dos y debe guardarse en lugares seguros y
adecuados.
Es la tarea ms difcil, pues son estos equipos vulnerables de fcil acceso, pero los
controles que pueden implantarse ayudaran a garantizar la integridad y confidencialidad
de la informacin.
INSTRUMENTOS DE CONTROL
B. Pruebas de almacenamiento
Determinar si el sistema puede almacenar una alta cantidad de datos, tanto en sus
dispositivos de discos fijos y removibles, segn el diseo y configuracin.
D. Pruebas de recuperacin.
Probar la capacidad del sistema para recuperar datos y restablecerse despus de una
falla. Para efectuar estas pruebas se debe previamente sacar una copia de respaldo de los
archivos reales.
E. Prueba de procedimientos.
Evaluar la calidad, validez, seguridad, as como facilidad de uso y sencillez en los
manuales de procedimientos y operacin, respecto a la operacin real del sistema.
Haciendo que los usuarios lleven acabo exactamente lo que el manual pide.
4. Formularios De Control
Para efectos de registra y controlar previamente el desarrollo e implementacin del
sistema o evaluar posteriormente es necesario utilizar formularios diseados de control,
cuya relacin se indica continuacin:
Control del cronograma del proyecto
Control de documentacin del sistema
Control tcnico del anlisis del sistema
Control de pruebas del sistema
Control de la implementacin
Fin