Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Informe Unidad 1,2 y 3 Auditoria de Sistemas
Informe Unidad 1,2 y 3 Auditoria de Sistemas
Informe
Unidad 1,2 y 3
(Auditoria de sistemas)
Conceptos básicos.
Concepto de Sistemas: Conjunto ordenado, lógico y secuencial de normas y
procedimientos que persiguen un fin determinado. • Podemos hablar por ejemplo
de Sistema: Contable, Planeación, Capitalista, Operación, Educativo, Financiero,
de Información, Administrativo.
Auditoría es un examen crítico que se realiza con el fin de evaluar la eficacia y
eficiencia de una sección, un organismo, una entidad, etc. Es la acción de verificar
que un determinado hecho o circunstancia ocurra de acuerdo a lo planeado, pero
si se habla de la auditoría en una organización, se refiere a las pruebas que se
realizan a la información financiera, operacional o administrativa con base en el
cumplimiento de las obligaciones jurídicas o fiscales, así como de las políticas y
lineamientos establecidos por la propia entidad de acuerdo a la manera en que
opera y se administra.
Objetivos generales
Determinar las posibles vulnerabilidades del sistema y plataforma
tecnológicas utilizadas en el centro de comunicaciones, con el fin de hacer
las recomendaciones que dieran lugar.
Incrementar la satisfacción de los usuarios de los sistemas computarizados.
Asegurar una mayor integridad, confidencialidad y confiabilidad de la
información mediante la recomendación de seguridades y controles.
Conocer la situación actual del área de navegación y del área de telefonía
del Centro de Comunicaciones, así como también, las actividades que se
desarrollan y los esfuerzos que se realizan para lograr los objetivos
propuestos en dicha empresa.
Reducir riesgos y aumentar los controles.
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
informático.
Capacitación y educación sobre controles en los sistemas de información.
Ventajas:
Enfoca lo amplio que se desee.
Plan de trabajo flexible y reactivo.
Se concentra en la identificación de eventos.
Desventajas
Depende fuertemente de la habilidad y calidad del personal involucrado.
Identificación de eventos reales más claros al no tener que aplicar
probabilidades complejas de calcular.
Dependencia profesional.
Actividades de aplicación
Entrada: Son los ingresos del sistema. Constituyen la fuerza de arranque que
suministra al sistema sus necesidades operativas. Pueden ser recursos
materiales, recursos humanos o información. Las entradas pueden clasificarse de
la siguiente manera.
Proceso: es lo que transforma una entrada en salida. Como tal puede ser una
máquina, un individuo, una computadora, un producto químico, una tarea realizada
por un miembro de la organización, etc.
Salidas: son los resultados que se obtienen de procesar las entradas. Las mismas
son el resultado del funcionamiento del sistema o, el propósito para el cual existe
el sistema. Las salidas de un sistema se convierten en la entrada de otro sistema,
que la procesara para convertirla en otra salida, repitiéndose este ciclo
indefinidamente.
Se ejerce desde fuera del proceso en consideración, por ejemplo, las auditorias
tradicionales (financiera, legal, de gestión, física, entre otras). su propósito es
asegurar la cohesión organizacional en el dominio donde tal proceso se realiza
con respecto a parámetros acordados previamente. Este tipo de control suele ser
esporádico, pero regular.
los “Controles de aplicación” son aquellos controles que son aplicables para un
determinado proceso de negocio o aplicación, entre ellos podemos encontrar la
edición de registros, segregación de funciones, totales de control, logs de
transacciones y reportes de errores.
Las auditorias no fueron diseñadas para ejercer el control, si no para velar que sea
realizado por quienes tienen la responsabilidad de ejercerlo en razón a su
competencia y en relación con sus funciones.
Así mismo el control no es una oficina o dependencia; son todos los elementos
que hacen parte de la organización donde cada uno de ellos desempeña un
componente de control y son los dueños de los procesos quienes garantizan su
autocontrol, autogestión y auto regulación.
Para efectos de este trabajo, sólo presentamos los más utilizados en las
organizaciones.
Sistemas de información
Medios que proporcionan información a los administradores para conocer el
funcionamiento de todas las actividades y cargos de la organización.
Reportes e informes
Varían de una organización a otra; los más comunes son:
Reportes de información.
Informes de control (utilizados en forma continua para el control de operaciones
diarias).
Formas
Documentos impresos utilizados para el registro de actividades relativas a cada
departamento. Facilitan la transmisión de información.
Redes
Son una de las herramientas más importantes en la administración, ya que pueden
aplicarse a todo tipo de empresa, sin importar su tamaño ni actividad.
Métodos más comunes utilizados por las redes:
A. PERT. Se basa en la utilización de tres tiempos para el desarrollo de una
actividad: pesimista, optimista y muy probable.
B. CPM. Sólo emplea una estimación de tiempo.
Investigación de operaciones
Este modelo refleja variables y restricciones en distintas situaciones, así como en
las repercusiones sobre los objetivos y metas. Su objetivo principal es optimizar
todos los recursos a través de la utilización del método científico.
Gráficas de Gantt.
Se basan en el uso de gráficas de barras para indicar los tiempos estimados y
reales, y llevar a cabo una o varias tareas.
Amenaza: Una persona o cosa vista como posible fuente de peligro o catástrofe
(inundación, incendio, robo de datos, sabotaje, agujeros publicados, etc.)
Vulnerabilidad: La situación creada, por la falta de uno o varios controles, con los
que la amenaza pudiera acaecer y así afectar al entorno informático (falta de
control de acceso logico, de versiones, inexistencia de un control de soporte
magnético, etc.).
Riesgo: La probabilidad de que una amenaza llegue a acaecer por una
vulnerabilidad (los datos estadísticos de cada evento de una base de datos de
incidentes).
Exposición o Impacto: La evaluación del efecto del riesgo. (es frecuente evaluar el
impacto en términos económicos, aunque no siempre lo es, como vidas humanas,
imágenes de la empresa, honor, etc.).
Planificar el área a Auditar es fundamental, pues habrá que hacerla desde el punto
de vista de los dos objetivos:
Evaluación de los sistemas y procedimientos.
Evaluación de los equipos de cómputo.
Para analizar y dimensionar la estructura por auditar se debe solicitar:
A nivel del área de informática. Objetivos a corto y largo plazo.
Recursos materiales y técnicos. Solicitar documentos sobre los equipos, número
de ellos, localización y características:
Estudios de viabilidad.
Número de equipos, localización y las características (de los equipos
instalados y por instalar y programados)
Fechas de instalación de los equipos y planes de instalación.
Contratos vigentes de compra, renta y servicio de mantenimiento.
Contratos de seguros.
Convenios que se tienen con otras instalaciones.
Configuración de los equipos y capacidades actuales y máximas.
Planes de expansión.
Ubicación general de los equipos.
Políticas de operación.
Políticas de uso de los equipos.
SISTEMAS
Descripción general de los sistemas instalados y de los que estén por
instalarse que contengan volúmenes de
información.
Manual de formas.
Manual de procedimientos de los sistemas.
Descripción genérica.
Diagramas de entrada, archivos, salida.
Salidas.
Fecha de instalación de los sistemas.
Proyecto de instalación de nuevos sistemas
Riesgos y contingencias más comunes.
Riesgos del negocio: Amenazan la viabilidad del software. Los principales riesgos
de negocio son:
Riesgo de mercado: producto demasiado bueno.
Riesgo estratégico: producto que no encaja
Riesgo de ventas: producto poco vendible
Riesgo de presupuesto: producto fuera de presupuesto
1. Evaluación.
2. Planificación.
3. Pruebas de viabilidad.
4. Ejecución.
Actividades de mitigación
Las actividades de mitigación apuntan siempre hacía que la contingencia una vez
ocurrida, produzca el menor daño posible en las actividades informáticas de la
empresa o que le daño producido por la ocurrencia de la contingencia tenga un
impacto mínimo. Como las actividades de prevención, estas actividades son de
suma importancia, pero de mayor costo
Planificación de la auditoría.
Una planificación adecuada es el primer paso necesario para realizar auditorías de
sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio
en el que se ha de realizar la auditoria, así como los riesgos del negocio y control
asociado.
Riesgo inherente: Cuando un error material no se puede evitar que suceda por
que no existen controles compensatorios relacionados que se puedan establecer.
Procedimientos de auditoría.
La Matriz muestra las áreas en que los controles no existen o son débiles,
obviamente el auditor debe tener el suficiente criterio para juzgar cuando no lo hay
si es necesario el control.
En esta parte de evaluación de debilidades y fortalezas también se debe elegir o
determinar la materialidad de las observaciones o hallazgos de auditoría. El
auditor de sistemas debe juzgar cuáles observaciones son materiales a diversos
niveles de la gerencia y se debe informar de acuerdo a ello.