Está en la página 1de 17

UNIDAD NUMERO 1

Auditora:
No solo detecta errores, sino que es un examen crtico que se realiza con el objeto de evaluar
la eficiencia y eficacia de una seccin o de un organismo.
Requiere el ejercicio de un juicio profesional, solido y maduro, para juzgar los procedimientos
que deben seguirse y estimar los resultados obtenidos.
Es la actividad consistente en la emisin de una opcin profesional sobre si el objeto sometido
a anlisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las
condiciones que le han sido prescriptas.
Auditora interna (grado de detalle)
Labor de anlisis
A mayor empresa, mayor control
Examen interno
Nexo entre direccin y empresa
Auditora externa (grado de independencia)
Comprobacin posterior
Necesidad de certificacin independiente.
Mayor control por mayores aportes de terceros
Nexo entre comunidad y empresa
Tipos de auditora
Auditora Administrativa
Examen global y constructivo de la estructura de una empresa, institucin, una seccin del
gobierno o cualquier parte de un organismo, en cuanto a sus planes y objetivos, sus mtodos
y controles, su forma de operacin y sus facilidades humanas y fsicas.
Debe llevarse a cabo como parte de la auditoria del rea informtica
Tener en cuenta
Elemento humano
Organizacin
Direccin
Supervisin
Comunicacin y coordinacin
Recursos materiales, tcnicos y financieros
Control
Auditora Informtica
Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema
informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organizacin y utiliza eficientemente los recursos.
Su campo ser:
Evaluacin administrativa del rea informtica.
Evaluacin de los sistemas u procedimientos de la eficacia que se tiene en el uso de la
informacin.
La evaluacin del proceso de datos y de los equipos de cmputos.
Funciones
Vigilar y evaluar mediante dictmenes.
Evaluar eficiencia, costo y seguridad.
Operar segn el plan auditor.
Utilizar metodologas de evaluacin de tipo cualitativo.
Con las caractersticas de pruebas de auditora.
Dar soporte informtico a todos los auditores.
Auditora interna

Es una actividad independiente y objetiva de aseguramiento y consulta, concebida para


agregar valor y mejorar las operaciones de una organizacin.
Elementos clave
Es independiente y objetiva
Se dedica a actividades de:
Aseguramiento
Consultora
Agrega valor a las operaciones
Tiene un enfoque sistemtico
Evala la gestin de riesgos, el control y el gobierno.
UNIDAD NUMERO 2
Control:
Proceso de asegurar que los planes logren los objetivos y metas deseados
Es exitoso cuando instituye correcciones antes que las desviaciones se vuelvan graves.
Requiere que sea realizada por fases y este respaldada por la direccin.
Categoras
Controles preventivos: tratan de evitar situaciones no deseadas.
Controles detectivos: tratan de conocer cuanto antes el evento no deseado.
Controles correctivos: tratan de facilitar el regreso a la situacin anterior al momento
de producirse las incidencias.
Ejemplos de controles internos
Controles generales
Polticas
Planificacin
Estndares
Procedimientos
Otros
Controles especficos de ciertas tecnologas
Controles de sistemas de gestin de base de datos
Controles en informtica distribuida y redes
Controles sobre ordenadores personales.
Caractersticas de un control eficaz
Econmicos
Representativos
Adecuados
Congruentes
Oportunos
Funciones de control
Seleccin de puntos estratgicos de control.
Observacin del trabajo y recopilacin de muestras.
Acumulacin, clasificacin y registro de la info.
Comparacin con estndares.
Determinacin de si el desempeo es satisfactorio.
Reporte de las desviaciones significativas.
Determinar si una accin tomada es efectiva para corregir la desviacin reportada.
Revisar y modificar los estndares.
Limitaciones del control interno

El criterio humano es imperfecto.


Los controles pueden ser evitados mediante connivencia.
La gerencia puede pasar por encima del control.
Los costos no deben superar los beneficios del control.
Los hbitos, la cultura, la direccin y un ambiente de control eficaz no son
impedimentos de fraude.

UNIDAD NUMERO 3
Riesgo:
La ISO define riesgo como la probabilidad de que una amenaza se materialice, utilizando
vulnerabilidades existentes de un activo o un grupo de activos, generndole perdidas o dao.
Elementos: probabilidad, amenaza, vulnerabilidad, activo, impacto.
Administrar riesgo es: un proceso para identificar, evaluar, manejar y controlar
acontecimiento o situaciones potenciales, con el fin de proporcionar un aseguramiento
razonable en relacin con el alcance de los objetivos de la organizacin.
Administracin y anlisis
Es indispensable realizar el anlisis de los mismos
Anlisis de riesgos: permite establecer la exposicin real a los riesgos por parte de la
org.
El riesgo total: es el valor del impacto promedio por la probabilidad de la ocurrencia por
cada amenaza y activo.
Riesgo residual: es el riesgo remanente luego de contemplar la efectividad de las
acciones.
Proceso de administracin del riesgo para las TIs
Paso 1. Caracterizacin del sistema.
Tarea: definir el alcance del riesgo.
Entradas: hardware, software, interfaces, datos, etc.
Salidas: limites del sistema, funciones, criticidad de los datos, etc.
Paso 2. Identificacin de la amenaza
Tarea: definir el potencial para una fuente de amenaza particular para ejercitar exitosamente
una vulnerabilidad o debilidad particular.
Entradas: historia de ataques al sistema, datos de agencias, medios masivos.
Salidas: declaracin de amenazas
Paso 3. Identificacin de la vulnerabilidad
Tarea: desarrollar una lista de vulnerabilidades del sistema que pueda ser explotada por las
amenazas potenciales.
Entradas: reporte de evaluaciones de riesgos previos, auditorias, etc.
Salidas: lista de vulnerabilidades potenciales.
Paso 4. Anlisis del control
Tarea: analizar los controles que han sido implementados o planeados por la organizacin
para minimizar o eliminar la probabilidad de vulnerabilidad del sistema.
Entradas: controles actuales y controles planeados
Salidas: lista de controles actuales y planeados
Paso 5. Determinacin de la probabilidad
Tarea: ranquear las probabilidades de vulnerabilidades potenciales.
Entradas: motivacin de la fuente de amenaza, capacidad de la amenaza, naturaleza., etc.
Salidas: rating de probabilidades

Paso 6. Anlisis de impacto


Tarea: determinar el impacto adverso resultante de un ejercicio de amenaza exitoso sobre una
vulnerabilidad.
Entradas: anlisis del impacto sobre la misin, evaluacin de la criticidad de los activos, etc.
Salidas: rating de impactos
Paso 7. Determinacin del riesgo
Tarea: evaluar el nivel de riesgo para el sistema de tecnologa de informacin.
Entradas: probabilidad de la explotacin de la amenaza, magnitud del impacto y adecuacin
de los controles actuales y planeados.
Salidas: Riesgos y sus niveles de riesgos asociados.
Paso 8. Recomendaciones de control
Tarea: proveer los controles que pueden mitigar o eliminar los riesgos identificados, como asi
tambin operaciones apropiadas para la organizacin.
Entradas: efectividad de las opciones recomendadas, legislacin y regulacin, poltica
organizacional, etc.
Salidas: controles recomendados.
Administracin y anlisis del riesgo
Acciones:
Controlar el riesgo
Eliminar el riesgo
Compartir el riesgo
Aceptar el riesgo
IEEE std. 1540:2001
Proceso de administracin del riesgo
Planificar e implantar la adm. Del riesgo
Administrar el perfil del riesgo del proyecto
Ejecutar el anlisis de riesgo
Ejecutar el tratamiento el riesgo
Ejecutar el monitoreo del riesgo
Evaluar el proceso de adm. Del riesgo.
UNIDAD NUMERO 4
Procedimientos del trabajo
TCNICAS MANUALES utilizadas por los auditores en el trabajo de campo para examinar
(medir y evaluar), determinados DOCUMENTOS, TRANSACCIONES, CONDICIONES Y
PROCESOS.
OBSERVACIN: examen visual, implica una comparacin mental con estndares y una
evaluacin de lo que se ve.
INTERROGATORIO: Puede ser hecho en forma oral o escrita. Cuando la informacin es
oral debe ser confirmada preguntando al menos a otra persona.
ANLISIS: Consiste en entender el todo mediante el estudio de sus partes. Los
procedimientos analticos se usan para descubrir cualidades, causas, efectos, motivos
y posibilidades como base para un posterior juicio o examen.
VERIFICACIN: es un proceso de corroboracin y comparacin, de por ejemplo un
documento con otro.
INVESTIGACIN: es una bsqueda sistemtica de hechos ocultos cuando existen ilcitos
o condiciones sospechosas.
EVALUACIN: es una valoracin o estimacin de trabajo. Es una determinacin de la
adecuacin, eficacia y eficiencia del tema en cuestin.
TCNICAS ASISTIDAS POR COMPUTADOR I

Prueba de detalles de transacciones y balances.


Procedimientos analticos, por ej identificacin de inconsistencias.
Pruebas de controles generales, tales como configuraciones en sistemas operativos.
Programas de muestreo para extraer datos.
Pruebas de control en aplicaciones.
Etc.

TCNICAS ASISTIDAS POR COMPUTADOR II


Software de auditoria
Paquete de auditoria
Software para propsito especifico o diseo a medida
Los programas de utilera
Rutinas de auditoria
Etc

Registros extendidos
Tcnicas para analizar programas
Trazabilidad
Mapeo
Comparacin de cdigo
Job accounting software

La evidencia
La certeza absoluta no siempre existe.
Es la base razonable de la opinin del auditor informtico, la cual se plasma en el informe de
auditora informtica.
Calificativos de la evidencia:
RELEVANTE: Posee una relacin lgica con los objetivos de la Auditora. Se refiere a la
relacin existente entre la evidencia obtenida y el uso que se le puede dar.
FIABLE: Que es vlida y objetiva, aunque con nivel de confianza.
SUFICIENTE: Que es de tipo cuantitativo para soportar la opinin profesional del auditor.
ADECUADA: Que es de tipo cualitativo para afectar las conclusiones del auditor.
Naturaleza de la informacin
La informacin puede consistir en documentacin autorizada, clculos del auditor,
interrelaciones entre los datos, existencias fsicas, eventos subsecuentes, registros
subsidiarios, testimonios de clientes y de terceras partes.
Pueden ser:
Fsicas: observacin directa del auditor y la inspeccin de personas, propiedades o
actividades.
Documental: existe en forma permanente como rdenes de compra.
Testimonial: aseveraciones escritas o habladas.
Analtica: es extrada al considerar las interrelaciones entre los datos.
Procedimientos obtencin de la informacin
Entrevista
Recalculo de datos cuantitativos
Prueba detallada
Observacin e inspeccin
Exploracin
Muestreo estadstico
Papeles de trabajo

Estn constituidos por "la totalidad de los documentos preparados o recibidos por el auditor,
de manera que, en conjunto, constituyen un compendio de la informacin utilizada y de las
pruebas efectuadas en la ejecucin de su trabajo, junto con las decisiones que ha debido
tomar para llegar a formarse su opinin.
Clases de papeles de trabajo
De planificacin
Memo de planificacin
Presupuesto de horas de trabajo y programacin del equipo
Aspectos pendientes de solucin en el curso de la auditoria
Sugerencias para futuros trabajos de auditoria
Normativas legal vigente aplicable
De ejecucin de las tareas
Del auditado
Planes
Planos
Organigramas
Procedimientos
Registros varios

Del auditor
Registros varios
Instructivos varios
Normas, estndares, modelos, etc.

De obtencin de evidencias
Reflejan los procedimientos especficos de auditora para cada rea
Recogen la evaluacin del sistema de control interno
Copia de los documentos examinados
Copias de cartas de contestacin y confirmaciones
Constancia de inspecciones oculares
Constancia de inspecciones orales
Notas sobre clculos realizados
Papeles relacionados con la preparacin y formulacin de su opinin
Errores e irregularidades
En la planificacin de su examen, el auditor debe considerar la deteccin de los errores e
irregularidades producidas, que pudieran tener un efecto significativo sobre los registros y
activos, sin embargo no ser responsable de todo error o irregularidad cometido por los
administradores, directivos o personal de la entidad auditada.
El trmino error se refiere a actos u omisiones no intencionados cometidos por uno o ms
individuos, sean de los administradores, de la direccin, de los empleados de la entidad
auditada, o de terceras personas ajenas a sta, que alteran la informacin contenida en la
documentacin, tales como:
Errores aritmticos o de transcripcin en los registros
Inadvertencia o interpretacin incorrecta de hechos
Aplicacin incorrecta de principios y normas
Pueden producirse por
Incompetencia
Descuido
Trabajo en exceso
Deficiencias fsicas

Falta de capacitacin

El trmino irregularidad se refiere a los actos u omisiones intencionadas, cometidas por uno
o ms individuos, sean de los administradores, de la direccin, de los empleados de la entidad
auditada, o de terceras personas ajenas a sta, que alteran la informacin contenida en los
registros y/o activos. La irregularidad puede suponer, entre otros:
Manipulacin, falsificacin o alteracin de registros o documentos
Apropiacin indebida y utilizacin irregular de activos
Supresin u omisin de los efectos de transacciones en los registros o documentos
Registro de operaciones ficticias
Aplicacin indebida e intencionada de principios y normas.
Informe de auditoria
ES LA COMUNICACIN DEL AUDITOR INFORMTICO AL CLIENTE, FORMAL, Y, QUIZS,
SOLEMNE, TANTO DEL ALCANCE DE LA AUDITORA (OBJETIVOS, PERODO DE COBERTURA,
NATURALEZA Y EXTENSIN
DEL TRABAJO REALIZADO) COMO DE LOS RESULTADOS, CONCLUSIONES Y
RECOMENDACIONES.
Puntos esenciales
Identificacin del informe
Identificacin del cliente
Identificacin de la entidad auditada
Objetivos de la auditoria informtica
Normativa aplicada y excepciones
Alcance de la auditoria
Hallazgos
Conclusiones
Opinin favorable
Opinin con salvedades
Opinin desfavorable
Opinin denegada
Recomendaciones
Identificacin y firma del auditor
Fecha del informe
En las conclusiones y recomendaciones se debe hacer referencia a la planificacin,
organizacin, direccin y control.
UNIDAD NUMERO 5
Gestin de un programa de auditoria
Establecimiento del programa de auditoria
Objetivos: pueden basarse en
Prioridades de la direccin
Propsitos comerciales
Requisitos del sistema de gestin
Requisitos legales, reglamentarios y contractuales
Necesidad de evaluar a los proveedores
Etc.
Amplitud: definida por
Tamao, naturaleza y complejidad de la organizacin a auditar
Alcance, objetivo y la duracin de cada auditoria
La frecuencia de las auditorias
Numero, importancia, complejidad, similitud y ubicacin de las actividades a auditar.

Etc.

Responsabilidades: de la gestin de un programa de auditoria


Establecer los objetivos y la amplitud del programa de auditoria
Establecer las responsabilidades y procedimientos y asegurarse que se proporciones
recursos
Asegurarse de la implementacin del programa de auditoria
Asegurarse de que se mantienen los registros pertinentes del programa de auditoria
Realizar el seguimiento, revisar y mejorar el programa de auditoria
Recursos del programa de auditoria
Recursos financieros necesarios para desarrollar, implementar, dirigir y mejorar las
actividades de la auditoria
Las tcnicas de auditoria
Los procesos para alcanzar y mantener la competencia de los auditores y para mejorar
su desempeo
Las disponibilidad de los auditores y expertos tcnicos
La amplitud del programa
El tiempo de viaje, alojamiento y otras necesidades de la auditoria
Procedimientos del programa de auditoria
Planificacin y elaboracin del calendario
El aseguramiento de las competencias de los auditores
La seleccin de los equipos de auditores apropiados y la asignacin de sus funciones
La realizacin de las auditorias
La realizacin del seguimiento de las auditorias
La conservacin del desempeo y la eficacia del programa
La comunicacin de los logros del programa a la direccin
Implementacin del programa de auditoria
La comunicacin del programa de auditora a las partes pertinentes
La coordinacin y elaboracin del calendario de las auditorias
El establecimiento y mantenimiento de un proceso de evaluacin de los auditores
La seleccin de los equipos auditores
La provisin de los recursos
Asegurarse la realizacin de las auditorias de acuerdo al programa
Asegurarse el control de los registros de las actividades
Asegurarse la revisin y aprobacin de los informes
Asegurarse el seguimiento de la auditoria, si es aplicable.
Seguimiento y revisin del programa de auditoria
Deberan utilizarse indicadores de desempeo para el seguimiento tales como:
La aptitud de los auditores para implementar el plan
La conformidad con los programas y calendarios
La retroalimentacin de los clientes de la auditoria, de los auditados y de los
auditores.

La

revisin del programa de auditoria debera considerar:


Los resultados y las tendencias de seguimiento
La conformidad con los procedimientos
Las necesidades y expectativas cambiantes de las partes interesadas
Los registros del programa.
Etc.

UNIDAD NUMERO 6
COBIT
Objetivo:
Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede
proporcionar. Las organizaciones exitosas, sin embargo, tambin comprenden y
administran los riesgos asociados con la implementacin de nueva tecnologa.
Con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus
objetivos, los recursos de TI deben ser administrados por un conjunto de proceso de TI
agrupados en forma neutral.
COBIT esta orientado a ser la herramienta de gobierno de TI que ayude al
entendimiento y a la administracin de riesgos asociados con tecnologa de
informacin y con tecnologas relacionadas.

Definicin del producto COBIT

Resumen ejecutivo: sntesis ejecutiva que proporciona a la alta gerencia entendimiento


y conciencia sobre los conceptos claves y principios de COBIT.
Marco referencial: proporciona a la alta gerencia un entendimiento mas detallado de los
conceptos clave y principios de COBIT e identifica los 4 dominios y los correspondientes
34 procesos de TI.
Objetivos de control: contienen declaraciones de los resultados deseados o propsitos a
ser alcanzados mediante la implementacin de 302 objetivos de control detallados y
especficos a travs de los 34 procesos
Directrices de auditora: contienen los pasos de auditoria correspondientes a cada uno
de los 34 objetivos de control de TI.
Conjunto de herramientas de implementacin: proporciona lecciones aprendidas de
Organizaciones que aplicaron COBIT.

Marco referencial de COBIT


Audiencia
Administracin: para ayudarlos a lograr un alance entre los riesgos y las inversiones en
control en un ambiente de tecnologa de la informacin frecuentemente impredecible.
Usuarios: para obtener una garanta en cuanto a la seguridad y controles de los
servicios de tecnologa.
Auditores de sistemas de informacin: para dar soporte a las opiniones mostradas a la
administracin.
Definiciones:
Control: las polticas, procedimientos, practicas y estructuras organizacionales diseadas para
garantizar razonablemente que los objetivos del negocio sern alcanzados y que eventos no
deseables sern prevenidos o detectados y corregidos.
Objetivo de control en TI: es una definicin del resultado o propsito que se desea alcanzar
implementando procedimientos de control en una actividad TI particular.
Principios del marco referencial
Requerimientos de calidad
Calidad
Costo
Entrega
Requerimientos fiduciarios
Efectividad y eficiencia de operaciones
Confiabilidad de la informacin
Cumplimiento de las leyes y regulaciones
Requerimientos de seguridad
Confidencialidad

Integridad
Disponibilidad

Definiciones de trabajo
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad de la informacin
Recursos de TI
Datos: grficos, externos, internos, estructurados y no, etc.
Aplicaciones: sistemas de aplicaciones y suma de procedimientos y manuales
Tecnologa: hardware, software, sistemas operticos, bases de datos, etc.
Instalaciones: recursos para alojar y dar soporte a los sistemas de informacin
Personal: habilidades, conocimiento, conciencia y productividad para planear,
organizar, adquirir, etc.
Procesos de TI
Actividades y tareas: las actividades cuentan con un concepto de ciclo de vida,
mientras que las tareas son consideradas mas discretas.
Procesos: son una serie de actividades o tareas conjuntas con cortes naturales
(control).
Dominios: agrupan de manera natural los procesos. Su agrupamiento natural es
confirmado frecuentemente en una estructura organizacional y esta en lnea con el
ciclo administrativo o ciclo de vida aplicable a los procesos de TI.
Dominios
Planeacin y organizacin: cubre la estrategia y las tcticas y se refiere a la
identificacin de la forma en que la tecnologa de la informacin puede contribuir de la
mejor manera al logro de los objetivos de negocio.
Adquisicin e implementacin: para llevar a cabo la estrategia de TI deben ser
identificadas, desarrolladas o adquiridas, asi como implementadas e integradas dentro
del proceso del negocio.
Entrega y soporte: se hace referencia a la entrega de los servicios requeridos, abarca
desde operaciones tradicionales hasta el entrenamiento, pasando por la seguridad y
aspectos de continuidad.
Monitoreo: todos los procesos necesitan ser evaluados regularmente a travs del
tiempo para verificar su calidad y suficiencia.
UNIDAD NUMERO 7
Principales areas de auditora informtica

Auditoria fsica
Se entiende por fsico todo aquello que incluye al:
Entorno fsico del ordenador
CPU
Pantalla
Teclado
Impresora
Cableado
Etc.
Centro de procesamiento de datos como unidad fsica

LA SEGURIDAD FSICA GARANTIZA LA INTEGRIDAD DE LOS ACTIVOS HUMANOS, LGICOS Y


MATERIALES DE UN CENTRO DE PROCESAMIENTO DE DATOS
reas de la seguridad fsica
Organigrama de la empresa
Auditora interna
Administracin de la seguridad
Centro de procesos de datos e instalaciones
Equipos y comunicaciones
Ordenadores personales
Seguridad fsica del personal
Norma ISO 27002:2005 seguridad fsica y del entorno
Permetro de seguridad
Controles fsicos de entrada
Seguridad de oficinas y despachos
Trabajo en areas seguras
reas de acceso pblico, areas de carga y descarga
Suministro elctrico
Cableado
Etc.
Seguridad fsica
Responsabilidades auditor interno
Revisar los controles relativos a la seguridad fsica
Revisar el cumplimiento de los procedimientos
Evaluar riegos
Revisin del cumplimiento de las polticas y normas
Participar sin comprometer la independencia en:
Planes de seguridad, de contingencia, seguimiento, actualizacin
Seleccin adquisicin e implantacin de equipamiento.
Levar a cabo auditorias programadas e imprevistas
Confeccionar los informes de auditora.
Responsabilidades de los auditores externos
Revisar las funciones de los auditores internos
Poseen las mismas responsabilidades de los auditores internos
Revisar los planes de seguridad y contingencia. Efectuar pruebas
Emitir informes y recomendaciones.

Auditoria de la ofimtica
Entendemos por ofimtica el sistema informatizado que genera, procesa, almacena, recupera,
comunica y presenta datos relacionados con el funcionamiento de la oficina.
Controles
1-Economia, eficiencia y eficacia
Determinar si el inventario de equipos refleja con exactitud lo que hay
Determinar y evaluar el procedimiento de adquisicin de los equipos
Determinar y evaluar la poltica de mantenimiento definida por la organizacin
Evaluar la calidad de las aplicaciones del entorno ofimtico desarrollada por personal
de la organizacin

Determinar si los usuarios cuentan con suficiente formacin y la documentacin de


apoyo necesaria.
Etc.

2- Seguridad
Determinar si existen garantas suficientes para proteger los accesos no autorizados a
la informacin reservada de la empresa y la integridad de la misma.
Determinar si el procedimiento de generacin de las copias de respaldo es fiable y
garantiza la recuperacin de la informacin en caso de necesidad.
Determinar si esta garantizado el funcionamiento ininterrumpido de aquellas
aplicaciones cuya cada podra suponer perdidas de integridad de la informacin.
Determinar el grado de exposicin ante la posibilidad de instruccin de virus.

Auditoria de la direccin
El desempeo de cualquier organizacin es la manifestacin de las caractersticas de su
direccin.
Responsabilidades
Planificar
Organizar
Dirigir
Controlar

Planificar
Plan principal
Plan estratgico de sistemas de informacin:
Debe estar alineado al plan estratgico de la organizacin y a sus objetivos.
Constituye el marco de actuacin de los sistemas de informacin de la org.
Son responsables de este planeamiento, la direccin de informtica, el comit y la
direccin general.
Las vigencias de estos planes oscila entre los 3 y 5 aos
Es responsabilidad del auditor evaluar su adecuacin.
Planes relacionados
Plan operativo anual: describe actividades del ejercicio planificado
Plan de direccin tecnolgica.
Plan de arquitectura de la informacin.
Plan de recuperacin ante desastres: incendios, inundacin, fallos de componentes de
hardware.
Organizar
Estn orientados a estructurar los recursos, los flujos de informacin y los controles fijados
por los objetivos en la planificacin. Involucra:
Comit de informtica
Posicin del rea informtica en la organizacin
Descripcin de funciones y responsabilidades
Estndares de funcionamiento y procedimientos
Gestin de recursos humanos
Comunicacin
Gestin econmica
Seguros

Auditoria de explotacin
Segn COBIT
Un sistema de informacin se lo define como: un conjunto de componentes que interactan
para que la empresa pueda alcanzar sus objetivos satisfactoriamente.
Componentes:
Datos
Aplicaciones
Tecnologa
Instalaciones
Personal
Funciones del auditor informtico
Controles generales:
Controles operativos de la organizacin.
Controles sobre el desarrollo de programas y su documentacin.
Controles sobre programas y los equipos.
Controles de acceso.
Controles de las aplicaciones
Sobre la captura de datos
Controles de proceso
De salida y distribucin

Auditoria de desarrollo
Incluye todo el ciclo de vida del software, excepto la explotacin, el mantenimiento y el
oportuno retiro de la aplicacin.
Funcin del auditor informtico:
Auditoria de la organizacin y la gestin del rea de desarrollo. (1)
Evaluar la eficacia y eficiencia de la administracin de los procesos del ciclo de vida del
software.(2)
Sus componentes
Procesos de ciclo de vida primarios
Procesos de ciclo de vida de soporte
Procesos del ciclo de vida organizacionales.
(1)

Debe tener unos cometidos asignados dentro del departamento y una organizacin
orientada a su obtencin
El personal debe contar con la formacin y motivacin adecuada
Los proyectos que se desarrollen deben estar basados en el plan de sistemas, el cual
debe mantenerse actualizado
La propuesta y aprobacin de nuevos proyectos debe estar reglada.
La asignacin de recursos tambin debe estar reglada.
La organizacin del rea debe ser flexible a los cambios en las necesidades.

(2)
Procesos primarios del ciclo de vida
Adquisicin
Provisin
Desarrollo

Operacin
Mantenimiento

Procesos del ciclo de vida de soporte


Documentacin
Administracin de la configuracin
Aseguramiento de la calidad
Validacin
Verificacin
Revisiones conjuntas
Auditorias
Resolucin de problemas
Procesos del ciclo de vida organizacionales
Administracin
Infraestructura
Mejora
Entrenamiento

Auditoria de mantenimiento
El objetivo fundamental de esta auditora es evaluar la administracin de la mantenibilidad.
Se considera lo siguiente:
Implicancias laterales asociadas con el cambio
Los aspectos documentales en cuanto a la evaluacin y aprobacin de los cambios
Documentacin de los cambios y la correspondiente comunicacin a todos
Adecuacin de las revisiones tcnicas formales
Revisin de la aceptacin final a los fines de asegurar que toda la arq del software fue
actualizada, probada y los cambios se realizaron en forma adecuada.

Auditoria de base de datos

Los datos constituyen en las empresas uno de los recursos fundamentales.


A raz de ellos se disearon los sistemas de gestin de base de datos.
Todo lo anterior a llevado a la necesidad de desarrollar sistemas de control interno y de
auditoras a los fines de su control y evaluacin.
Existen diferentes metodologas desarrolladas a tal efecto.
Metodologa tradicional: revisa el entorno con ayuda de listas de control
Metodologa de evaluacin de riesgos: fija objetivos de control con el objeto de
minimizar los riesgos potenciales a los que se encuentra sometido el entorno de
BD.

Objetivos de control en el ciclo de vida de una base de datos


Estudio previo y plan de trabajo
Concepcin de la base y seleccin del equipo
Diseo y carga
Explotacin y mantenimiento
Revisin post-implantacin
Retiro de la base de datos
Auditora y control interno en entorno de BD
Software de auditoria
Sistema de monitorizacin y ajuste
Sistema operativo

Monitoreo de transacciones
Protocoles y sistemas distribuidos
Paquete de seguridad
Diccionario de datos.
Etc.

Auditoria de calidad
Se define a la calidad de software como:
Concordancia con los requisitos funcionales y de rendimiento explcitamente establecidos, con
los estndares de desarrollo explcitamente documentados y con las caractersticas implcitas
que se espera de todo software desarrollado profesionalmente.
Los problemas de calidad de software se manifiestan en que no cumplen los requisitos
del cliente, se entrega fuera de los plazos establecidos y costos excedidos a los
planificados.
A los efectos de la revisin de la calidad se toma en cuenta el ISO 19011:2002
Objetivos de las auditorias de calidad
Mostrar la situacin real para aportar confianza y destacar las areas que pueden
afectar negativamente dicha confianza
Razones para realizar una auditora de calidad
Establecer el estado de un proyecto.
Verificar la capacidad de realizar o continuar un trabajo especfico.
Verificar que elementos del plan de aseguramiento de calidad han sido
desarrollados y documentados.
Verificar la adherencia de esos elementos con el programa o plan de aseguramiento
de la calidad.

Auditoria de seguridad

Tipos

Cuando hablamos de seguridad, hablamos de proteccin de la informacin


Dada la importancia de la informacin, la misma requiere de protecciones adecuadas
dado el impacto que produciran debido a fallos.
La auditoria de seguridad est orientada a su evaluacin y contribuir mediante
recomendaciones.
La auditoria debe evaluar si los modelos de seguridad son acordes a las nuevas TICs.
Esta auditoria puede ser un fin en si mismo o formar parte de otras areas de inters
como ser la de sistemas de informacin o de informtica. Por ejemplo la seguridad en
las redes, base de datos, etc.
de auditora de la seguridad
Auditoria de la seguridad fsica
Auditoria de la seguridad lgica
De la seguridad y el desarrollo de aplicaciones
De la seguridad en el rea de produccin
De la seguridad de los datos
De la seguridad en las comunicaciones y redes
De la continuidad de las operaciones

Auditoria de redes
Vulnerabilidad en redes
Por causas propias de la tecnologa pueden producirse 3 tipos de incidencias:

Alteracin de bits
Alteracin de tramas
Alteracin de secuencia
Por causas dolosas y considerando que fsicamente es posible interceptar la info los 3 riesgos
son:
Indagacin
Suplantacin
Modificacin
Auditoria de la red fsica
Debe verificarse la existencia de:
reas controladas para los equipos de comunicaciones
Proteccin y tendido adecuado de cables y lneas de comunicaciones
Control de utilizacin de los equipos de pruebas de comunicaciones
Atencin especfica a la recuperacin de los sistemas de comunicaciones de datos
Controles especficos en caso de que se utilicen lneas telefnicas con acceso a la red
de datos.
Auditoria de la red lgica
Contraseas y otros procedimientos para limitar y detectar cualquier intento de acceso
no autorizado a la red.
Facilidades de control de errores.
Controles para asegurar que las transacciones van solamente a usuarios autorizados.
Registro de la actividad de la red.
Tcnicas de cifrado de datos donde haya riesgos de acceso.
Controles adecuados que cubran la importacin o exportacin de datos a travs de
puertas.

Auditoria de aplicaciones
Aspectos que no pueden garantizarse de una aplicacin informtica
La profesionalidad de quienes la crearon
El cansancio y el estrs de los profesionales
Es de humanos equivocarse, cometer errores
Un empleado descontento que comete errores intencionalmente
Un empleado que comete un fraude
Un control interno riguroso
La posibilidad de fallo de cualquier de los elementos que intervienen en el proceso
informtico.
Etc.
Herramientas de uso ms comn
Entrevistas
Encuestas
Observacin del trabajo realizado a los usuarios
Pruebas sustantivas de validacin
Uso del ordenador
Etapas de la auditoria de una aplicacin informtica

Recogida de informacin y documentacin sobre la aplicacin


Determinacin de los objetivos y alcance de la auditoria
Planificacin de la auditoria
Trabajo de campo
Informe
Implantacin de mejoras

También podría gustarte