Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AuditoriadeSistema
Ms Siguienteblog
Crearunblog Acceder
Auditoria de Sistema
BIENVENIDOS
INTEGRANTES
FerminJoselin,
UNIDAD N 4 ESTANDARES DE
DOCUMENTACION DE AUDITORIA
Yoleixis Diaz
Elcy Chavez
Metodologapararealizarauditorasdesistemas
computacionales
Sepuedendesarrollarunaseriedeactividadesytcnicasque
nospuedenayudararealizarlaauditoriadeinformacin:
correo:norelcy_16@hotmail.com
Yorley Gonzalez
Correo:yorleyg_ing@hotmail.com. Telefono:
04161577828
Inventariofsico.
1/18
8/9/2016
AuditoriadeSistema
Anlisisdelasnecesidadesdeinformacin.
Tienecomofinalidadprincipaldeterminarquinformacin
requieren los empleados y la direccin de la organizacin
paradesarrollarsuspapelesyalcanzarlosobjetivos.
Grficos de procesos y flujos de trabajo. Los grficos de
procesos junto con los flujos de trabajo pueden constituir
una buena herramienta de trabajo en el mbito de las
auditoriasdelainformacin.
Procesosdecontrolyverificacin.
En una auditoria de la informacin, se deben establecer
tambin los procesos de control y verificacin. El resultado
de estos procesos puede consistir en un informe o, incluso,
un certificado que confirme que todo es correcto o que
incluyarecomendacionesdemejora.Hayquetenerpresente
que el mapa de recursos de informacin, o mapa
documental, puede constituir uno de los principales
resultadosdelprocesodelaauditoriadeinformacin.Enel
caso del mapa documental, ste detalla qu documentos se
encuentran dentro de la organizacin, a qu tipo de
funciones se encuentran vinculados y dan respuesta, quin
tiene la responsabilidad y el acceso a esos documentos, en
qusoporteestndisponibles,dndeycmoseencuentran
accesiblesyqurelacinoniveldeintegracintienenconel
resto de los sistemas de informacin de la organizacin.
Tambin se establece la localizacin de todos los
documentos dentro de los estndares y los procedimientos
de la organizacin, as como su valor para el conocimiento
corporativo
Papelesdetrabajoparalaauditoradesistemas
computaciones
A lo largo de todo el trabajo de auditora, el auditor debe
guardarlaspruebasevidentesdelorealizado,nosolocomo
recordatorio fundado de su actuacin con las necesarias
matizaciones para emitir el informe, sino como medio de
demostrar,encualquiermomento,laamplitudylaevidencia
de los hechos, y poder expresar los procedimientos de
auditorautilizados,ascomolainterpretacindadaencada
casoaloshechos,conlasconclusionesobtenidas.
Estas pruebas, deben ser conservadas en lugar protegido,
http://auditoriadesistemajoselin.blogspot.com/
2/18
8/9/2016
AuditoriadeSistema
3/18
8/9/2016
AuditoriadeSistema
http://auditoriadesistemajoselin.blogspot.com/
4/18
8/9/2016
AuditoriadeSistema
5/18
8/9/2016
AuditoriadeSistema
6/18
8/9/2016
AuditoriadeSistema
Confirmacin:Esunodelosaspectosfundamentalespara
la credibilidad de una auditoria es la confirmacin de los
hechos y la certificacin de los datos obtenidos durante la
revisin ya que el resultado final de una auditoria es la
emisin de un dictamen en el que el auditor vierte sus
opiniones, la caracterstica fundamental de una auditoria,
cualquiera que sea su tipo, es la autenticidad con la que el
auditoremitesusopiniones,seanafavoroencontra.Enlos
sistemas computacionales su fin es confirmar la
oportunidad,veracidaddelosgastosdenominadelpersonal
delaempresa,comparandolosresultadosdeunaquincena
con los clculos manuales de esa misma quincena, validar
lasdesviacionesencontradasenlosprocesamientos,revisar
las licencias de software instalados en los sistemas
computacionales y confirmar la confiabilidad de las
protecciones , contraseas y dems medidas de seguridad
establecidasparaelaccesoalainformacinyalossistemas
delaempresa.
Comparacin: Esta debe ser aplicada de acuerdo a las
necesidadesycaractersticasespecficasdelreadesistemas
o del propio sistemas que va a ser auditado. Con la
comparacin de informacin se pueden encontrar las
similitudes y diferencias entre ambas reas o empresa, con
lo cual se pueden hacer conjeturas y deducciones sobre las
desviaciones encontradas. En la auditoria de sistemas
computacionales,lacomparacindelosdatosenelsistemas
computacionalesquevaaserelevadoconlosdatosdealgn
sistemas similar o igual para avalar y comprobar que los
procesamientosseansimilaresoigualesyquelosresultados
sean confiables, verdicos, oportunos y que satisfagan las
necesidades de procesamiento del rea de cmputo de la
empresa.
Revisin documental: Es la forma ms importante de
evaluar a las empresas adems no solo sirve para
aplicacionesenunaauditoriatradicional,sinotambincomo
un importante apoyo en los diferentes tipo de auditora de
sistemas computacionales claro esta adoptndola a las
caractersticas especificas de evaluacin de los sistemas
computacionales.Larevisindocumentalavalalosregistros
de operaciones y actividades de una empresa,
principalmente en aquellos casos donde la evaluacin est
enfocadaalosaspectosfinancieros,registrosdelosactivosy
a cualquier otro aspecto contable y administrativo de la
empresa. Esta tcnica se aplica verificando el registro
correcto de datos en documentos formales de la empresa,
con mucha frecuencia la emisin de sus resultados
financieros. En los sistemas computacionales es utilizada
para evaluar el desarrollo de las operaciones y
funcionamiento del sistema, revisar el uso y registro
adecuado de los documentos del software, verificar la
existencia y actualizacin de registros formales para la
administracinycontroldeoperacindelsistema.
http://auditoriadesistemajoselin.blogspot.com/
7/18
8/9/2016
AuditoriadeSistema
8/18
8/9/2016
AuditoriadeSistema
Participacindelauditor
http://auditoriadesistemajoselin.blogspot.com/
9/18
8/9/2016
AuditoriadeSistema
Ancuandoelauditorestinteresadoentodoslosaspectos
delnuevosistema,debe
velarporqueseestablezcantodosloscontrolesdeaplicacin.
Suprincipalfuncin
es asegurar que los sistemas, recientemente implantados
incluyancaractersticas
de control slidas y confiables. En trminos generales es
ayudaraprevenirque
se implanten sistemas de aplicacin que tengan riesgos
importantes.
Elauditorparticipaenelprocesodedesarrollodesistemas
revisandoladocumentacin
generada como producto final de ciertas actividades de
desarrollodesistemas.
En estas actividades su inters se concentrar
primordialmenteeneldesarrollo
e implantacin de controles de aplicacin adecuados. El
auditor necesita reconocer que su participacin durante el
desarrollodelossistemaspuedeamenazarsuindependencia
y deber tomar medidas para evitar esta prdida. Estas
medidasincluyen:
*Permanecerorganizacionalmenteindependientedelgrupo
desistema.Estosignifica
queelauditornoesunmiembroenpropiedaddelgrupode
desarrollodesistema
y no le quita la direccin del proyecto al gerente del grupo
delproyecto.
* Redactar los informes independientemente del grupo del
proyecto.Lasopiniones
del auditor, sus recomendaciones y sus evaluaciones no
deberanincluirseenlos
informesdestatusdelproyectopuestoqueelemisordelos
informes(usualmente
el gerente del grupo del proyecto) tiene autoridad editorial
paramodificarlas
declaracionesdelauditor.
*Investigarindependientementedelgrupodelproyecto.El
grupodelproyectopuede
estarrestringidoaciertoscontactosyciertaautoridad,pero
elauditortiene
libre acceso a la informacin y al personal de la
organizacin.
Programadetrabajo
1.Establecerelplaneamientopreliminardeltrabajode
auditora:Enesteprimer
paso se obtiene un conocimiento inicial de las
actividadesdelsistemayevaluarlas
en relacin con los objetivos de auditora, a fin de
determinarelalcancepreliminar.
2. Participacin del Auditor en el Desarrollo de
Sistemas: Determinar el grado de participacin del
auditorencadafasedelciclodevidadelsistema,una
vez
que ha sido identificado. Los auditores de sistema
http://auditoriadesistemajoselin.blogspot.com/
10/18
8/9/2016
AuditoriadeSistema
necesitanparticiparenelproceso
dedesarrollodelossistemasparagarantizarquelos
nuevossistemasdeinformacin
diseen las medidas adecuadas de auditora y de
control. Los dos tipos de autorizacin donde se
involucra el auditor son: El auditor debe tener un
grado de participacin mediante un acuerdo y
revisindelasfases.
3. Acuerdo:Eselacuerdoformalconelcontenidodel
productotangible.Encasode
desacuerdo, la persona responsable de evaluar el
productotangiblepreparaunmemorandoindicando
su posicin y los items que requieren solucin y lo
envaoremitealsiguientenivelsuperiorgerencial.
4. Revisin: Los productos tangibles son presentados
para informacin solamente pueden hacerse
comentariosperoellosnosondecisivos.
5.RevisindeProductosFinales:Acordaryrevisarlas
actividadesyelproducto
finaldecadafasedelciclodevidadeldesarrollodel
sistema.Elauditordebe
revisar que las firmas de aprobacin para todos los
productostangiblesestnplasmadasenelcontrolde
aceptacin de etapas. As mismo el auditor debe
preparar los papeles de trabajo con el propsito de
evidenciar y documentar los resultados de la
investigacindelproyectoyquesirvancomomaterial
dereferenciaparaesfuerzosfuturos.
6. Identificar las fuentes de informacin para las
revisionesy/opruebasdeauditora:
Este paso incluye la identificacin de las fuentes de
informacinqueserequieren
en los procesos de prueba y revisin. Las fuentes de
informacinproveenlosmedios
para la revisin y documentacin de las actividades
deauditorayverificacin
decontroles.
No hay comentarios:
http://auditoriadesistemajoselin.blogspot.com/
11/18
8/9/2016
AuditoriadeSistema
InstituteofSystemAuditandAssociation,ISACA
La Information Systems Audit and Control Association Asociacin
deAuditorayControldeSistemasdeInformacinISACA,comenz
en 1967. En 1969, el grupo se formaliz, incorporndose bajo el
nombre de EDP Auditors Association Asociacin de Auditores de
ProcesamientoElectrnicodeDatos.En1976laasociacinformuna
fundacindeeducacinparallevaracaboproyectosdeinvestigacin
degranescalaparaexpandirlosconocimientosyelvalordelcampo
degobernacinycontroldeTI.
Actualmente, los miembros de ISACA ms de 28.000 en todo el
mundo se caracterizan por su diversidad ya que estn presentes en
ms de 100 pases y cubren una variedad de puestos profesionales
relacionados con TI, como son los Auditores de SI, Consultores,
Educadores, Profesionales de Seguridad de SI, Reguladores,
Directores Ejecutivos de Informacin y Auditores Internos, por
mencionarsloalgunos.
En las tres dcadas transcurridas desde su creacin, ISACA se ha
convertidoenunaorganizacinglobalqueestablecelaspautaspara
los profesionales de gobernacin, control, seguridad y auditora de
informacin.
Su certificacin Certified Information Systems Auditor Auditor
Certificado de Sistemas de Informacin CISA, es reconocida en
formaglobalyhasidoobtenidapormsde30.000profesionales.Su
nueva certificacin Certified Information Security Manager Gerente
Certificado de Seguridad de Informacin CISM, se concentra
exclusivamente en el sector de gerencia de seguridad de la
informacin.Publicaunperidicotcnicolderenelcampodecontrol
delainformacin,elInformationSystemsControlJournalPeridico
de Control de Sistemas de Informacin. Organiza una serie de
conferenciasinternacionalesqueseconcentranentpicostcnicosy
administrativospertinentesalasprofesionesdegobernacindeTIy
aseguracin, control, seguridad de SI. Juntos,ISACA y
suITGovernanceInstituteInstitutodeGobernacindeTIasociado
lideran la comunidad de control de tecnologa de la informacin y
sirven a sus practicantes brindando los elementos que necesitan los
profesionalesdeTIenunentornomundialencambiopermanente
Las empresas pblicas y privadas estn valorando cada da ms la
crecienteimportanciaquerepresentamantenersistemasinformticos
seguros, confiables y confidenciales, que eviten o prevengan la
ocurrenciadeerroresuoperacionesilegalesapartirdedebilidadesen
lossistemasdecontrol.
CertifiedInformationSecurityAuditor,CISA
La Asociacin de Auditora y Control de Sistemas de Informacin
(ISACA) provee una Certificacin en Auditor en Sistemas de
Informacin (CISA), por medio de un examen anual que realiza el
Institutoaloscandidatos,elcualcubreelconocimientodeactividades
requeridasparalafuncindeAuditoraenTI,paralocualpresentaun
Manual de Informacin Tcnica para la preparacin de los
candidatos.
http://auditoriadesistemajoselin.blogspot.com/
12/18
8/9/2016
AuditoriadeSistema
CertifiedInformationSecurityManager,CISM
TambinISACAproveelaCertificacinparalaAdministracindela
Seguridad de la Informacin del cual intenta garantizar que existan
administradores de seguridad de TI que tengan los conocimientos
necesariosparareducirelriesgoyprotegeralaorganizacin.
La certificacin CISM est diseada para dar la certeza de que los
individuos certificados tengan los conocimientos para ofrecer una
eficazadministracinyconsultoradeseguridad.
Est orientada a profesionales que administran la seguridad de la
informacin en una organizacin y tienen el conocimiento y la
experiencia para montar, implementar y dirigir una estructura de
seguridad para administrar el riesgo con eficacia y tienen la
responsabilidad de entender la relacin entre las necesidades
comercialesylaseguridaddeTI.
Para obtener esta certificacin, los profesionales deben aprobar el
examen,adherirseauncdigoticoypresentarpruebasverificadasde
que tienen una experiencia laboral de cinco aos en seguridad de la
informacin.
Segn la ISACA, menciona los principales objetivos de esta
certificacincomoacontinuacinsemencionan:
Desarrollarmodelosderiesgosquemidanmejorlosriesgosde
seguridadylospotencialesimpactossobreelnegocio.
Aumentar la calidad de la gestin ejecutiva de las nuevas
amenazas y las ya existentes, a travs de la convergencia
entrelaorganizacinylasmedidasdeseguridad
Impulsar la unificacin del enlace entre la seguridad de las
organizaciones y los organismos gubernamentales y
legislativos, informndoles de las mejores prcticas en
seguridad.
Continuardefiniendolacualificacin,certificacinyformacin
de los Directores de Seguridad Chief Security Officer
(CSO)/Chief Information Security Officer (CISO) y otros
puestos.
InstitutoMexicanodeAuditoresInternos,IMAI
El Instituto Mexicano de Auditores Internos, A.C. (IMAI) fue
constituido en 1984, est dedicado a la capacitacin e investigacin
endeAuditoraInternayControl.
A travs del IMAI los profesionales de la auditora interna
permanecenactualizadosparacumplirconlasresponsabilidadesque
tienenasucargoendiferentessectoresdelaindustria,elcomercioy
losservicios,tantoenelsectorpblicocomoprivadoysocial.
De acuerdo al IMAI su misin es promover el mejoramiento
constante de la Prctica Profesional de la Auditora Interna, para
fortalecerelprestigiodeestaprofesinydequieneslapractican.
http://auditoriadesistemajoselin.blogspot.com/
13/18
8/9/2016
AuditoriadeSistema
ElobjetivoprincipaldelInstitutoeslasuperacinprofesionaldesus
miembros,mediantelosiguiente:
ElmejoramientodelaprcticaProfesionaldelaAuditoraInterna.
Desarrollar y mantener la unin y cooperacin efectiva entre los
profesionalesdelaAuditoraInterna.
Promoverladifusindelasnormasdeactuacinprofesionalatravs
delascualeslosauditoresinternospuedanmediryregularsupropio
desempeoylasorganizacionespuedanesperarserviciosdecalidad.
EstablecerymantenerelprestigiodelaAuditoraInternaatravsde
la investigacin y la divulgacin de conocimientos tcnicos de
enfoques conceptuales relativos al ejercicio profesional de esta
disciplinaymateriasafines.
Establecerymantenervnculosconotrosorganismosprofesionaleso
docentes y entidades pblicas o privadas, para identificacin y
desarrollodeaspectosquepermitanelevarlacalidaddelaprcticade
la Auditora Interna y el Control en general, dentro de las
organizaciones.
InstituteofInternalAuditors,IIA
Publicado por FerminJoselin, en 14:15
No hay comentarios:
14/18
8/9/2016
AuditoriadeSistema
AuditoriaInformticaDeExplotacin:Laexplotacininformticaseocupa
de producir resultados, tales como listados, archivos soportados
magnticamente, rdenes automatizadas, modificacin de procesos, etc.
Para realizar la explotacin informtica se dispone de datos, las cuales
sufrenunatransformacinysesometenacontrolesdeintegridadycalidad.
(Integridad nos sirve a nosotros la calidad es que sirven los datos, pero
puedenquenosirvanestosdosjuntosrealizanunainformacinbuena).
Auditoria Informtica De Desarrollo De Proyectos O Aplicaciones: La
funcin de desarrollo es una evaluacin del llamado Anlisis de
programacinysistemas.Asporejemplounaaplicacinpodratenerlas
siguientesfases:
Prerrequisitosdelusuarioydelentorno
Anlisisfuncional
Diseo
Anlisisorgnico(preprogramacinyprogramacin)
Pruebas
Explotacin
Todasestasfasesdebenestarsometidasaunexigentecontrolinterno,delo
contrario, pueden producirse insatisfaccin del cliente, insatisfaccin del
usuario, altos costos, etc. Por lo tanto la auditoria deber comprobar la
seguridad de los programas, en el sentido de garantizar que el servicio
ejecutadoporlamquina,losresultadosseanexactamentelosprevistosy
no otros (El nivel organizativo es medio por los usuarios, se da cuenta el
administradorEj.Lacontabilidaddebeestarcuadrada).
AuditoriaInformticaDeSistemas:Seocupadeanalizarlaactividadquese
conoce como tcnica de sistemas, en todos sus factores. La importancia
crecientedelastelecomunicacionesopropiciadequelascomunicaciones,
lneas y redes de las instalaciones informticas se auditen por separado,
aunque formen parte del entorno general del sistema (Ej. De auditar el
cableadoestructurado,anchodebandadeunaredLAN).
Auditoria Informtica De Comunicacin Y Redes: Este tipo de auditora
deber inquirir o actuar sobre los ndices de utilizacin de las lneas
contratadas con informacin sobre tiempos de uso y de no uso, deber
conocer la topologa de la red de comunicaciones, ya sea la actual o la
desactualizada. Deber conocer cuantas lneas existen, como son, donde
estn instaladas, y sobre ellas hacer una suposicin de inoperatividad
informtica. Todas estas actividades deben estar coordinadas y
dependientes de una sola organizacin (Debemos conocer los tipos de
mapas actuales y anteriores, como son las lneas, el ancho de banda,
suponerquetodaslaslneasestnmal,lasuposicinmalaconfirmarlo).
http://auditoriadesistemajoselin.blogspot.com/
15/18
8/9/2016
AuditoriadeSistema
AuditoriaDeLaSeguridadInformtica:Sedebetenerpresentelacantidad
de informacin almacenada en el computador, la cual en muchos casos
puede ser confidencial, ya sea para los individuos, las empresas o las
instituciones, lo que significa que se debe cuidar del mal uso de esta
informacin, de los robos, los fraudes, sabotajes y sobre todo de la
destruccin parcial o total. En la actualidad se debe tambin cuidar la
informacin de los virus informticos, los cuales permanecen ocultos y
daansistemticamentelosdatos.
CamposdeAccindelaAuditoriaInformtica.
Sucampodeaccinser:
a)Evaluacinadministrativadelreadeinformtica.
1.Losobjetivosdelrea
2.Metas,planes,polticasyprocedimientosdeprocesos
electrnicosestndar.
3.Organizacindelreaysuestructuraorgnica.
4.Funciones,nivelesdeautoridadyresponsabilidaddel
readesistemas.
5.Integracindelosrecursosmaterialesytcnicos
6.Costosycontrolespresupuestales
7.Controlesadministrativosdelrea
b)Evaluacindelossistemas,procedimientos,ydelaeficienciaquesetiene
enelusodelainformacin.
1.Anlisisdelossistemasysusdiferentesetapas.
2.Evaluacindeldiseolgicodelsistema.
3.Evaluacindeldesarrollofsicodelsistema
4.Controldeproyectos
5.Controldesistemasyprogramacin
6.Instructivosydocumentacin
7.Formasdeimplantacin
8.Seguridadlgicayfsicadelossistemasysusdatos.
9.Confidencialidaddelossistemas
10. Controles de mantenimiento y forma de respaldo de
lossistemas.
11.Utilizacindelossistemas.
c)Evaluacindelprocesodedatosydelosequiposdeprocesamiento.
1.Controlesdelosdatosfuentesymanejodecifrasde
control
2.Controldeoperacin
3.Controldesalida
4.Controldeasignacindetrabajos
5.Controldeasignacindemediosdealmacenamiento
masivos
6.Controldeotroselementosdecmputo
7.OrdenenelCentrodeProcesamiento.
8.Seguridadfsicaylgica.
9.Respaldos.
PlaneacindelaAuditoriaInformtica.
La definicin de los objetivos perseguidos en la auditoria
informtica debe preceder a la eleccin de los medios y de las
acciones,sisepretendeevitarelpredominiodeestosltimos.
Para lograr un buena planeacin es conveniente primero obtener
informacin general sobre la organizacin y sobre la funcin
http://auditoriadesistemajoselin.blogspot.com/
16/18
8/9/2016
AuditoriadeSistema
InvestigacinPreliminar
No hay comentarios:
17/18
8/9/2016
AuditoriadeSistema
laboralseencuentranenlugaresestratgicosdondesemanejainformacin
de carcter sensible, o bien son hbiles en el uso de los sistemas
informatizados, an cuando, en muchos de los casos, no desarrollen
actividadeslaboralesquefacilitenlacomisindeestetipodedelitos.Conel
tiemposehapodidocomprobarquelosautoresdelosdelitosinformticos
sonmuydiversosyqueloquelosdiferenciaentreseslanaturalezadelos
delitos cometidos. De esta forma, la persona que "ingresa" en un sistema
informticosinintencionesdelictivasesmuydiferentedelempleadodeuna
institucinfinancieraquedesvafondosdelascuentasdesusclientes.
CaractersticasdelosDelitosInformticos:
1.Sonconductascriminalesdecuelloblanco,entantoqueun
determinadonmerodepersonasconciertosconocimientos
(tcnicosespecializados)puedellegaracometerlos.
2.Sonaccionesocupacionales,yaquemuchasvecessellevana
cabocuandoelsujetoesttrabajando.
3. Son acciones de oportunidad, ya que se aprovecha una
accin creada o altamente intensificada en el mundo de
funciones y organizaciones del sistema tecnolgico y
econmico.
4. Provocanseriasprdidaseconmicas,yaquecasisiempre
producenbeneficiosdemsdecincocifrasaaquellosque
lasrealizan.
Publicado por FerminJoselin, en 16:14
No hay comentarios:
Pgina principal
Entradas antiguas
http://auditoriadesistemajoselin.blogspot.com/
18/18