Auditoria

REPÚBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA LA EDUCACIÓN SUPERIOR UNIVERSIDAD NACIONAL EXPERIMENTAL «ROMULO GALLEGOS» ÁREA DE INGENIERÍA EN SISTEMAS prof: Luis Cerezo OF8 p Integrantes: Juan Sumoza C. 1 20. 817. 991 administrativa. OBJETIVOS DE UNA AUDITORIA DE SISTEMAS DE INFORMACION * El análisis de la eficiencia de los Sistemas Informáticos * La verificación del cumplimiento de la Normativa en este ámbito * La revisión de la eficaz gestión de los recursos informáticos. Incrementar la satisfacción de los usuarios * Asegurar una mayor integridad, confidencialidad y confiabilidad e la información mediante la recomendación de seguridades y controles. * Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. Seguridad de personal, datos, hardware, software e instalaciones ESTÁNDARES Y METODOLOGÍAS PARA REALIZAR UNA AUDITORÍA DE SISTEMAS DE INFORMACION: Existen algunas metodologías de Auditorías de Sistemas y todas dependen de lo que se pretenda revisar o analizar, pero como estándar analizaremos las cuatro fases básicas de un proceso de revision: * Estudio preliminar: Incluye definir el grupo de trabajo, el rograma de auditoría, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos, Entrevistas con los principales funcionarios del RAD. Revisión y evaluación de controles y seguridades: Consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas criticas, Revisión de procesos históricos backups), Revisión de documentación y archivos, entre otras actividades. * Examen detallado de áre n las fases anteriores el 2 auditor descubre las áreas criticas: Con las fases anteriores el auditor descubre las áreas criticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance Recursos que usara, definirá la metodología de trabajo, la duración de la auditoría, Presentará el plan de trabajo y analizara detalladamente cada problema encontrado con todo lo nteriormente analizado en este folleto. Comunicación de resultados: Se elaborara el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados , los efectos y las recomendaciones de la Auditoria. El informe debe contener lo siguiente: – Motivos de la Auditoria – Objetivos – Alcance – Estructura Orgánico-FuncionaI del área Informática – Configuración del Hardware y Software instalado Control Interno – Resultados de la Auditoría ESTANDARES GENERALES PARA LA AUDITORIA DE SISTEMAS DE INFORMACIÓN Los diez (10) Estándares siguientes son aplicables para la auditoria de Sistemas de Información: 1 . Actitud y Apariencia. En todos los asuntos relacionados con auditoría, El Auditor de Sistemas de Información. Deberá ser independiente del auditado en actitud y apariencia. 2. Relación Organizacional.

La función de auditoría de sistemas de información deberá ser lo suficientemente independ que está auditando, para 3 permitir la obtención del o Auditor[a. eberá adherirse al Código de Ética Profesional de su su mension 4. Habilidades y Conocimiento El auditor de Sistemas de Información deberá ser técnicamente competente y poseer las capacidades y conocimientos necesarios para desempeñar su trabajo de Auditor. 5. Educación Profesional Continua El auditor de Sistemas de Información deberá mantener competencia técnica mediante una apropiada educación continua. 6. Planeación y Supervisión. Las Auditorias de Sistemas de Información deben ser planeadas y supervisadas para asegurar que los objetivos de la auditor[a se lcanzan y se satisface el cumplimiento de estos estándares. 7.

Requerimiento de Evidencia Durante el curso de la auditoría, el auditor de Sistemas de nformación deberá obtener evidencia esencial y suficiente para soportar los hallazgos y conclusiones reportados. 8. Debido cuidado Profesional El debido cuidado Profesional debe ser el ejercicio en todos los aspectos del trabajo del Auditor de Sistemas de Información, incluyendo la observancia de auditoria aplicables. 9. Reporte del Alcance de la Auditoría En la preparación de reportes, el auditor de sistemas de nformación, deberá plantear los objetivos de la auditoria, el periodo de cubrimiento y la naturaleza y extensión del trabajo de auditoría ejecutado. 10.

Reporte de hallazgos y conclusiones. información deberá plantear los hallazgos y conclusiones relacionados con el trabajo de auditoría ejecutado, al igual que cualquier excepción ó calificación que el auditor tenga con respecto a la auditoria. PERFIL DEL PERSONAL QUE REALIZA UNA AUDITORIA DE SISTEMAS DE INFORMACIO 4DF8 * El auditor debe tener un claro V obietivo acerca de NFORMACION * El auditor debe tener un criterio muy claro y objetivo acerca e sus funciones y de su participación como componente de la organización. * El auditor debe evaluar los planes y proyecciones de la sistematización de datos, de acuerdo con los proyectos de la entidad. El auditor debe evaluar la organización del area de sistemas, la distribución de funciones y los procedimientos de trabajo y superv. s. on. * El auditor debe evaluar los métodos de trabajo y documentación utilizados por el grupo de desarrollo de sistemas y los controles implantados para supervisar sus labores. * El auditor debe tener capacidad para evaluar las aplicaciones esde su utilización práctica y objetiva por parte de los usuarios hasta los detalles relativos a la composición de los programas y los procedimientos utilizados. * El auditor debe evaluar la seguridad lógica prevista para la operación de las diferentes aplicaciones y sistemas. debe estudiar el sistema de seguridad y evaluar los métodos de acceso permitidos para: – Manejo del sistema de seguridad – Utilización de programas que permiten modificaciones a archivos o facilitan su duplicación. – Acceso a la utilización de programas e informaciones, incluidas aquellas organizadas en bases de datos Conocimiento de lenguajes de programación * Claridad de conceptos acerca de procedimientos no sistematizados * Facilidades en la expresión oral y escrita, fundamental par la presentación objetiva y clara de sus informes y opiniones. * Capacidad y criterio que le permitan discutir con propiedad sus puntos de vista. Aceptando los de los demás, sin ceder ante preslones o convenlenclas. Clara independencia de c aldo gerencial que apoyen 5 eficazmente los resultados de criterio y respaldo gerencial que apoyen eficazmente los resultados de su trabajo. HERRAMIENTAS PARA HACER AUDITORIA A UN SISTEMA DE Cuestionarios: Las auditorias informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma.

Entrevistas: La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas. Cheklist: El auditor conversará y hará preguntas «normales», que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists.

El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma. Trazas y/o Huellas: Estas Trazas se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apre rga, se conven absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendrá de antemano las fechas y horas más adecuadas para su empleo. La auditoría financiero-contable convencional emplea trazas con mucha frecuencia.

Son programas encaminados a verificar lo correcto de los cálculos de nóminas, primas, etc. Software de Interrogación: Hasta hace ya algunos años se han utilizado productos software, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informático. Más tarde, dichos productos evolucionaron hacia la obtención de muestreos estadísticos que permitieran la obtención de consecuencias e hipótesis de la situación real de una instalación. En la actualidad, los Software para la auditoría informática e orientan principalmente hacia lenguajes que permiten la interrogación de ficheros y bases de datos de la empresa auditada.

Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalación. MEDIDAS DE SEGURIDAD A ADOPTAR EN LOS DIFERENTES NIVELES DE SISTEMAS DE INFORMACIÓN Los niveles de seguridad son los siguientes: I . Nivel Básico 2. Nivel Medio 3. Nivel Alto Medidas de Seguridad de nivel básico: * Sistema de Registro de incidencias. * Relación actualizada usuarios/recursos autorizados. Existencia de mecanismos de identificación y autenticación de los accesos autorizados. * Restricción solo a los datos necesarios para cumplir cada funcion. * Gestión de soportes informáticos con datos de carácter personal. * Inventariados. semanalmente.

Medidas de seguridad de nivel medio, además de lo estipulado para el nivel bajo: * Designación de uno o varios responsables de seguridad. * Auditoría al menos una vez cada dos años. * Mecanismos para identificación inequívoca y personalizada de los usuarios. * Limitación de los intentos de acceso no autorizados. Medidas de control de acceso físico a los locales. * Establecimiento de un registro de entradas y salidas de soportes informáticos. * Establecimiento de medidas para Impedir la recuperación indebida de información contenida en soportes desechados o ubicados fuera de su lugar habitual. * Consignación en el registro de incidencias de las operaciones de recuperación de datos, que deberán ser autorizados por escrito por el responsable del fichero.

Medidas de seguridad de nivel alto, además de lo indicado para el nivel medio: * Los soportes para distribución deberán tener la información cifrada. Registro de accesos autorizados y denegados. * Guardar estos registros durante 2 años. * Copias de seguridad guardadas en sitios diferentes. * Transmisiones cifradas. Otras medidas de seguridad exigibles a todos los ficheros: * Los accesos por red están sujetos a las mismas medidas de seguridad exigibles del nivel de seguridad en modo local. * El tratamiento de los datos fuera del local será autorizado expresamente por el responsable del fichero. * Los ficheros temporales se borrarán una vez usados, también se les aplicará el nivel de s inente. 8 * El responsable del ficher documento de

Artículos Relacionados:

  1. GESTIÓN DE UN PROGRAMA DE AUDITORÍA
  2. PLAN DE AUDITORIA A PROVEEDORES Arroz Diana
  3. Pasos para realizar una Auditoria
  4. MANUAL DE AUDITORIA NOCTURNA
  5. Elementos de una auditoria de sistemas
  6. CORRESPONDE AL INFORME DE AUDITORÍA AI OAI 01 2015
  7. Auditoria
  8. auditoria trabajo
  9. examen de auditoria
  10. Auditoria Abdiel
Categories - Ensayos

You may also like these posts: