República Bolivariana De Venezuela

Ministerio Del Poder Popular Para La Defensa

Universidad Nacional Experimental Politécnica
De La Fuerza Armada Bolivariana
4to Semestre De Análisis y Diseño De Sistemas
Asignatura: Auditoria de Sistemas

Métod
os de
Audito
ria

Profesora: Alumno:
Adalides Rodríguez José Mota
C.I 26.753.659

San Félix, 24 de abril del 2020

Metodología de Una Auditoria de Apoyo:
En el momento de realizar una auditoria debemos contar con ciertos pasos,
normas o herramientas para que nuestro trabajo sea lo menos complejo
posible, cada empresa u organización cuenta con ciertos controles y es
nuestra labor verificar que tan confiables son los mismos, si de verdad
satisfacen las necesidades de los trabajadores o de los empleadores o Jefes.
En este contexto para realizar una auditoría de apoyo vamos a contar con
cierto paso para la elaboración de la misma, a continuación, detallaremos los
mismos.
Estudio preliminar: Antes de realizar una auditoria debemos realizar un
estudio el cual contiene la conformación del grupo de trabajo, el programa de
auditoría, realizar visitas al departamento al cual vamos a auditar para
conocer detalles, luego elaborar un cuestionario para obtener información
relevante para evaluar preliminarmente el control interno.
Revisión y evaluación de controles y seguridades: Toda empresa u
organización cuenta con sistemas de control y seguridad, en el momento de
realizar la auditoria debemos tener en cuenta estos sistemas si de verdad
son cien por ciento seguros o si estos controles son los que están
presentando el fallo. Para estar seguro de esto debemos realizar lo siguiente:
Realizar una revisión de los diagramas de flujo de procesos, realizar pruebas
de cumplimiento de las seguridades, revisión de aplicaciones de las áreas,
Revisión de procesos históricos (backups), Revisión de documentación y
archivos, entre otros.
Examen detallado de áreas críticas: Después de haber estudiado y
analizado lo anterior se descubre las áreas críticas y sobre ellas se hace un
estudio profundo en lo que se definirá el método de acción, se trazara un
cronograma de trabajo con todo el grupo perteneciente a la auditoria se
establecerá los motivos, objetivos, alcance recursos que usara, se definirá la
metodología de trabajo, la duración de la auditoría, y como respuesta final se
Presentará el plan de trabajo y analizara detalladamente cada problema
encontrado en el área para la auditoria.
A la hora de realizar una auditoria podemos contar con dos Métodos que
llevan por nombre: Método Deductivo, Método Inductivo, estos métodos
parten de un conocimiento general, van de lo universal a lo más simple.
Método Deductivo: Este método se guía por lo que se encuentra ya
establecido, leyes axiomas, teorías, normas entre otros. Comienza desde lo
más grande a lo más pequeño.
Método Inductivo: A diferencia del Método Deductivo, este método parte de
lo más pequeño a lo más grande. Se descompone el sistema a estudiar en lo
más pequeño para que sea más fácil su análisis para luego mediante un
proceso de síntesis se recompone el todo descompuesto y se emite una
opinión sobre el sistema tomado en conjunto.
Estas metodologías utilizadas para la auditoria de apoyo son más que todo
actividades que tratan de mejorar el rendimiento de un auditor para que así
alcance sus objetivos y determine los recursos necesarios que este utilizara
para la auditoria ya que este debe seguir una serie de etapas para la
elaboración del mismo y lograr con éxito un informe final.
Auditoria de Aplicaciones:
Es una herramienta analítica que se aplica para potenciar los procesos de
negocios de las empresas con ello ayudar a conseguir de mejor manera los
objetivos de esta a través de la planeación y organización.
El proceso de auditar Aplicaciones está planificado en las fases que se
presentan a continuación:
Análisis Funcional:
Se realiza un estudio general de la aplicación, adquiriendo una visión global
de las funcionalidades que proporciona con el fin de plantear las actuaciones
y procedimientos óptimos que se llevan a cabo en el Análisis Técnico.
Análisis Técnico:
Se realiza un análisis de la aplicación de manera que se pueda decidir a qué
tipos de ataques es sensible.
Diseño de Las Pruebas:
En esta fase se diseñan las pruebas a realizar para explotar aquellas
deficiencias de seguridad que puedan aparecer en la aplicación auditada.
Desarrollo de Las Pruebas:
Se programarán las pruebas a ejecutar, y se determinará el orden en el que
se llevarán a cabo.
Realización de Las Pruebas:
Durante esta fase se llevan a cabo todas las pruebas sobre la aplicación
auditada, se analizan los resultados obtenidos y en el caso de detectar
nuevas vulnerabilidades a explotar se vuelve a la fase de diseño para
intentar explotarlas.

Actividades de aplicación (entrada, proceso, salida):

En un sistema de información debemos tener en cuenta las tres actividades
que debe realizar, para poder producir la información que la empresa
requiere para la toma de decisiones y el control de las operaciones, y en
cada una de estas actividades se debe ejercer un control, el cual
posteriormente dará los parámetros para la auditoría.
Estos controles intentan asegurar que:
1- En un sistema computarizado solamente se ingresen datos completos,
exactos, válidos y autorizados por única vez.
2- La actualización de esos datos se efectúe en los momentos en que
realmente corresponda y bajo las mismas condiciones de seguridad arriba
señaladas.
3- El procesamiento se realice a tiempo y cumpliendo con el diseño aprobado
del sistema, según sus objetivos.
4- Los datos se mantengan protegidos y actualizados
5- Las salidas, resultados de procesamiento, cumplan las expectativas
formuladas en el momento de definición del proyecto.
Procedimiento de control de entrada de datos
La mayoría de las transacciones de procesamiento electrónico de datos
comienza con procedimientos de entrada de datos, en términos generales,
cualquiera que sea el ambiente en que se procesan los datos, se hace
necesario efectuar el control de ingreso para asegurar que cada transacción
a ser procesada cumpla con los siguientes requisitos:
-Se debe recibir y registrar con exactitud e íntegramente.
-Se deben procesar solamente datos válidos y autorizados.
-Se deben ingresar los datos una vez por cada transacción.
Los controles en el ingreso de datos son preventivos, pues tratan de evitar la
producción de errores exigiendo el ajuste de los datos introducidos a
patrones de formato y estructura (fecha valida, dato numérico, dato dentro de
un rango especifico, introducción de dígitos de chequeo, etc.).
Las pantallas de captura de datos deben ser diseñadas de manera similar
consistente con los documentos fuente que son ingresados al sistema. El
orden de los campos, en la pantalla y el documento, deben ser iguales para
evitar errores de digitación.
En el ingreso de los datos, la aplicación debe tener adecuados mensajes de
ayuda, con el fin de facilitar los ingresos de estos y advertir sobre algún error
cometido, indicando la clase de error.
Restringir el acceso de los usuarios a las diferentes opciones de la
aplicación, de tal forma que se definan los diferentes perfiles de acceso, de
acuerdo a las funciones de cada cargo, logrando con esto, disminuir el riesgo
de que personas no autorizadas puedan leer, modificar, adicionar, eliminar
datos o transacciones, en el ingreso de los datos, se puede presentar que
estos sean rechazados por el sistema; lo que la aplicación debe facilitar es el
control sobre dicha transacción rechazada, manteniendo en un archivo, las
transacciones rechazadas para que estas sean analizadas y corregidas por
los usuarios.
Procedimientos para el Control del Procesamiento: