Solucion Modulo i - Auditoria de Sistemas
Transcript of Solucion Modulo i - Auditoria de Sistemas
-
7/25/2019 Solucion Modulo i - Auditoria de Sistemas
1/7
MODULO I
EVALUACIN
I. Desde su punto de vista y basados en el presente documento defina apropiadamente
los siguientes conceptos
!.!. Auditoria
Auditora es un examen crtico, que no implica la preexistencia de fallas en
la entidad auditada y que persigue el n de evaluar y mejorar la ecacia y
eciencia de este modo obtener una opinin profesional y consistente de
una seccin o de un organismo.
!.". Auditoria de #istemas de Informaci$n
La auditora de Sistemas es la revisin y la evaluacin de los controles, sistemas,
procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y
seguridad, de la organizacin.
De vital importancia para el buen desempeo de los sistemas de informacin, ya que
proporciona los controles necesarios para que los sistemas sean confiables y con un
buen nivel de seguridad. !ambi"n debe evaluar todo #informtica, organizacin de
centros de informacin, $ard%areysoft%are&.
!.%. Auditabilidad
La auditabilidad provee facilidad relativa en e'aminar, verificar o demostrar un
sistema. (simismo debe satisfacer las pruebas de )contabilidad) y )visibilidad) La
primera debe posibilitar la asignacin de la responsabilidad para todos los eventos
importantes a una persona en particular. *n la segunda, debe permitir al administrador
responsable estar atento ante cualquier cambio en el esperado uso del sistema,
*n el caso especfico de un sistema de informacin, se debe determinar que el sistema
est" intentando usarse, as como est siendo usado, que la aplicacin del sistema est
http://www.monografias.com/trabajos/seguinfo/seguinfo.shtmlhttp://www.monografias.com/trabajos6/napro/napro.shtmlhttp://www.monografias.com/Computacion/Hardware/http://www.monografias.com/Computacion/Software/http://www.monografias.com/Computacion/Software/http://www.monografias.com/trabajos6/napro/napro.shtmlhttp://www.monografias.com/Computacion/Hardware/http://www.monografias.com/Computacion/Software/http://www.monografias.com/trabajos/seguinfo/seguinfo.shtml -
7/25/2019 Solucion Modulo i - Auditoria de Sistemas
2/7
conforme a los estndares y que la data contenida en la aplicacin del sistema est
conforme a lo esperado #e+emplo e'acto, completo, en conformidad con el ambiente&.
!.&. Controles
Son un con+unto de disposiciones metdicas, cuyo fin es vigilar las funciones y
actitudes de las empresas y para ello permite verificar si todo se realiza conforme a
los programas adoptados, rdenes impartidas y principios admitidos. De este modo
decidir si se invierte en el control para reducir la posibilidad de ocurrencia del riesgo,
o se acepta la probabilidad de perdidas asociadas al riesgo. -omo se mencionan a
continuacin.
-ontroles de -ontinuidad /istas, bac0up, planes de contingencia, seguros.
-ontroles de /rivacidad y -onfidencialidad Derec$o a la intimidad de la
informacin.
(dems e'isten controles para diferentes mbitos como son los siguientes
-ontroles /reventivos Son aquellos que reducen la frecuencia con que ocurren
las causas del riesgo, permitiendo cierto margen de violaciones.
*+emplos Letrero )1o fumar) para salvaguardar las instalaciones, Sistemas de
claves de acceso.
-ontroles Detectivos Son aquellos que no evitan que ocurran las causas del
riesgo sino que los detecta luego de ocurridos. Son los ms importantes para el
auditor. *n cierta forma sirven para evaluar la eficiencia de los controles
preventivos.
*+emplo (rc$ivos y procesos que sirvan como pistas de auditora2
/rocedimientos de validacin
-ontroles -orrectivos (yudan a la investigacin y correccin de las causas del
riesgo. La correccin adecuada puede resultar difcil e ineficiente, siendo
necesaria la implantacin de controles detectivos sobre los controles correctivos,
-
7/25/2019 Solucion Modulo i - Auditoria de Sistemas
3/7
debido a que la correccin de errores es en s una actividad altamente propensa a
errores.
3tro aspecto importante en la auditoria no solo informtica sino tambi"n en la
auditora general. *s el control interno.
1o e'iste autor serio que desligue este aspecto importantsimo.
/ara 4uesca (guilar de la 5niversidad (utnoma de 6a+a -alifornia.
Lo e'plica diciendo que el control interno informtico controla diariamente que todas
las actividades de sistemas de informacin sean realizadas cumpliendo los
procesamientos, estndares y normas fi+ados por la direccin de la organizacin y2o ladireccin informtica, as como los requerimientos legales. La funcin del control
interno informtico es asegurarse de que las medidas que se obtienen de los
mecanismos implantados por cada responsable sean correctas y vlidas.
*l control interno informtico, pues sirve para controlar todas las actividades que se
realicen cumpliendo los procedimientos y normas fi+adas, evaluar su bondad y
asegurarse del cumplimiento de las normas legales
5na pregunta que nos planteamos seria de qu" tipo de control $ablamos, /iatti nos da
ciertos e+emplos
-ontroles sobre la produccin diaria
-ontroles sobre la calidad y eficiencia del desarrollo y mantenimiento del
soft%are
-ontroles en las redes de comunicacin
-ontroles sobre los sistemas operativos
-ontroles sobre los sistemas microinformticos
-ontroles sobre la seguridad informtica
-
7/25/2019 Solucion Modulo i - Auditoria de Sistemas
4/7
II. Dada la siguiente premisa 'Los #istemas Inform(ticos est(n sometidos a un
control correspondiente) o al menos deber*an estarlo. La importancia de llevar un
control de estos sistemas de Informaci$n se puede deducir de varios aspectos+.
,encione -% aspectos o raones por la cual se deber*a llevar a cabo el control de los
#istemas de Informaci$n.
/ara 7arantizar que el $ard%are y soft%are se adquieran siempre y cuando
tengan la seguridad de que los sistemas computarizados proporcionaran
mayores beneficios.
(segurar la elaboracin de un plan de actividades previo a la instalacin.
*laboracin de un informe t"cnico en el que se +ustifique la adquisicin delequipo, soft%are y servicios de computacin, incluyendo un estudio costobeneficio.
/ara evitar que una misma persona tenga el control de toda una operacin.
*l sistema concluido ser entregado al usuario previo entrenamiento y elaboracin de
los manuales de operacin respectivos #-ontroles de 3rganizacin y /lanificacin&.
*l personal de auditora interna2control debe formar parte del grupo de diseo para
sugerir y solicitar la implantacin de rutinas de control.
III. Dise/e un m*nimo de -% controles y un ,(0imo de -1. 2ara el siguiente Caso
propuesto
En el poder 3udicial de 2uno) en la 4ficina de Arc5ivos de E0pedientes de casosde 2eculado e0isten -" computadoras de escritorio) en las cuales se 5a detectado
cierta manipulaci$n de algunos e0pedientes 6ue se encuentran almacenados en
estas computadoras se 5an cambiado fec5as de vistas de causa) algunas cifras
importantes y otros datos 6ue determinar*an el resultado final del e0pediente.
-
7/25/2019 Solucion Modulo i - Auditoria de Sistemas
5/7
-ontroles de /rocesamiento *laborar y plan de anlisis de procesos para $acer el
seguimiento especializado de los e'pedientes de peculado. 8erificar los
parmetros y reglamento donde est estipulado los pasos a seguir para el correcto
mane+o de e'pedientes.
-ontrol 3peracin Se realiza el plan de control de operaciones enfocado en el
personal pertinente, verificando credenciales y accesos al sistema. (dems
e+ecutar el sistema informtico comprobando la consistencia de datos.
-ontroles en el 5so de -omputadoras Se elabora un plan de autenticidad de la
informacin, relacionando los datos con arc$ivos fiables.
IV. Desarrolle un 2e6ue/o plan de Auditoria de Inform(tica) para poder Auditar el
#istema de Informaci$n de calificaci$n de la Comisi$n Central de Admisi$n de la
Universidad.
9ases de la (uditora
/laneacin 2 :evisin /reliminar 2 :evisin Detallada 2 *'amen y *valuacin de lanformacin 2
/ruebas de -onsentimiento 2 /ruebas de -ontroles del 5suario 2 /ruebas SustantivasLa planeacin de una auditora informtica tiene todas las caractersticas de la planeacinde una auditoria en general, pero siempre se tiene que tener el punto de vista de losob+etivos de nuestra especialidad, como son
*valuacin administrativa del rea de los procesos electrnicos. *valuacin de los sistemas y procedimientos. *valuacin de los equipos de cmputo. *valuacin del proceso de datos, de los sistemas, de los equipos, del soft%are, del
$ard%are, de las redes, de las bases de datos, etc.
*valuacin de la seguridad y confidencialidad de la informacin y aspectos legales delos sistemas y de la informacin.
(lgunos conse+os que el autor *c$enique 7arca
-
7/25/2019 Solucion Modulo i - Auditoria de Sistemas
6/7
!ener informes de actividades siempre.
*l siguiente paso despu"s de la planeacin es la revisin preliminar.
=/ara qu" sirve la revisin preliminar>
La revisin preliminar sirve para obtener informacin necesaria para que el auditorpueda tomar la decisin de cmo proceder en la auditora.
*ntonces la revisin preliminar, nos ayuda a disear una auditoria, ya que puede$aber problemas por la falta de competencia t"cnica para realizar una auditoria
La revisin preliminar tambi"n nos ayuda a realiza una revisin detallada de loscontroles internos de los sistemas.
8isto de otra manera la revisin preliminar significa la recoleccin de evidencias pormedio de entrevistas con el personal de la instalacin, la observacin de lasactividades en la instalacin y la revisin de la documentacin preliminar.
*l siguiente paso despu"s de la :*8S31 /:*L?1(: el ob+etivo de la revisinpreliminar es el de obtener la informacin necesaria para que el auditor pueda tomar ladecisin de cmo proceder en la auditoria. La revisin preliminar significa la recoleccinde evidencias por medio de entrevistas con la persona de la instalacin, la observacin delas actividades en la instalacin y la revisin de la documentacin preliminar.
:*8S@1 D*!(LL(D(
*s como su nombre lo dice, revisin detallada, esta todo al detalle, y estos valgan laredundancia, sirven para un profundo entendimiento de los controles usados dentro del rea
informtica.*s ac en donde la importancia para el auditor esta en identificar las causas de las p"rdidase'istentes, y los controles para reducir las p"rdidas.
La revisin preliminar y la revisin detallada son muy parecidos, la forma de obtener lainformacin al momento de la evaluacin son los mismos. Difiere en la profundidad conque se obtiene la informacin y se evalAa. Ba que en la revisin detallada es al milmetro.
*l cuarto paso en las fases de la auditoria informtica es *L *C(?*1 B *8(L5(-31D* L( 193:?(-31
Los auditores deben obtener informacin, analizar informacin, interpretar informacin ydocumentar la informacin.
(lgunas ideas claves para tener "'ito en esta fase serian
3btener informacin de todos los asuntos relacionados con los ob+etivos y alcances
de la auditoria La informacin deber ser competente, relevante y Atil. Los procedimientos de auditora que usemos debern ser elegidos con anterioridad.
-
7/25/2019 Solucion Modulo i - Auditoria de Sistemas
7/7
Los documentos de traba+o de la auditoria debern ser preparados por los auditores y
revisados por la gerencia de auditora.
*l to paso en las fases de la (uditoria es /:5*6(S D* -31S*1!?*1!3
*l ob+etivo de esta fase es determinar si los controles internos operan como fuerondiseados para operar. *l auditor debe determinar si los controles declarados en realidade'isten y si realmente traba+an confiablemente.
*l Eto paso son las /:5*6(S D* -31!:3L*S D*L 5S5(:3
*n algunos casos el auditor puede decidir el no confiar en los controles internos dentro delas instalaciones informticas, por que el usuario e+erce controles que compensan cualquierdebilidad dentro de los controles internos de informtica. *stas pruebas que compensan lasdeficiencias de los controles internos se pueden realizar mediante cuestionarios, entrevistas,vistas y evaluaciones $ec$as directamente con los usuarios.
La Altima fase en la (uditoria son L(S /:5*6(S S5S!(1!8(S, ac se obtieneevidencia suficiente que permita al auditor emitir su +uicio en las conclusiones acerca decundo pueden ocurrir p"rdidas materiales durante el procesamiento de la informacin. *lauditor e'terno e'presar este +uicio en forma de opinin sobre cundo puede e'istir unproceso equivocado o falta de control de la informacin. Se pueden identificar F diferentespruebas sustantivas
/ruebas para identificar errores en el procesamiento /ruebas para asegurar la calidad de datos /ruebas para identificar la inconsistencia de los datos /ruebas para comparar con los datos fsicos /ruebas para confirmar datos con las fuentes e'ternas
/ruebas para confirmar la adecuada comunicacin /ruebas para determinar falta de seguridad /ruebas para determinar problemas de legalidad.