0 calificaciones0% encontró este documento útil (0 votos)
18 vistas9 páginas
El documento describe las etapas de una auditoría a sistemas en funcionamiento, incluyendo la planeación del proyecto, identificación de transacciones y recursos, análisis de riesgos y amenazas, clasificación de controles, y prueba de controles. Explica conceptos como transacciones, características de las transacciones, y tipos de controles. Además, detalla los pasos para realizar un análisis de riesgos e identificar activos, riesgos y amenazas a los sistemas de una organización.
El documento describe las etapas de una auditoría a sistemas en funcionamiento, incluyendo la planeación del proyecto, identificación de transacciones y recursos, análisis de riesgos y amenazas, clasificación de controles, y prueba de controles. Explica conceptos como transacciones, características de las transacciones, y tipos de controles. Además, detalla los pasos para realizar un análisis de riesgos e identificar activos, riesgos y amenazas a los sistemas de una organización.
El documento describe las etapas de una auditoría a sistemas en funcionamiento, incluyendo la planeación del proyecto, identificación de transacciones y recursos, análisis de riesgos y amenazas, clasificación de controles, y prueba de controles. Explica conceptos como transacciones, características de las transacciones, y tipos de controles. Además, detalla los pasos para realizar un análisis de riesgos e identificar activos, riesgos y amenazas a los sistemas de una organización.
4.1.- Planeación del proyecto a auditar. 4.2.- Identificación de transacciones y recursos. 4.3.- Análisis de riesgos y amenazas. 4.4.- Clasificación de los controles. 4.5.- Prueba de los controles. 4.1.- Planeación del proyecto a auditar. • Justificación. • Ambiente. • Alcance. • Restricciones. • Beneficios. • Integración del equipo de trabajo y sus responsabilidades. • Definición de requisitos de información, nuevos y existentes. • Aprobación del proyecto 4.2.- Identificación de transacciones y recursos Transacciones. En su definición más simple se puede decir que una transacción es un conjunto de eventos que deben ser llevados a cabo como una unidad indivisible de trabajo, en la que todos y cada uno de ellos tienen éxito o todos y cada uno de ellos son rechazados.
Transacción. Órdenes de compra, ventas, cambios, altas y bajas con
ejemplos de transacciones que se registran en un entorno de información de negocios. Las consultas y demás solicitudes son también transacciones para la computadora, pero normalmente se las procesa sin registrarlas en el sistema. Características • 1. Atomicidad. Una transacción debe ser atómica. A pesar de que una transacción está compuesta por un número cualquiera de eventos, el sistema las debe considerar como una única operación, la cual puede tener éxito; en tal caso se hacen permanentes los cambios generados por cada evento componente de la transacción. • 2. Consistencia. Todos los cambios provocados por la transacción deben dejar al sistema en un estado correcto. El sistema es llevado desde un estado válido a otro estado válido, producto de la acción de una transacción. • 3. Aislamiento. Las transacciones que se ejecutan concurrentemente no se ven afectadas unas con otras. • 4. Durabilidad. Si una transacción es terminada en forma exitosa los efectos serán permanentes. Estructura de una transacción 4.3.- Análisis de riesgos y amenazas. • El análisis de riesgos informáticos es la evaluación de los distintos peligros que afectan a nivel informático y que pueden producir situaciones de amenaza al negocio, como robos o intrusiones que comprometan los datos o ataques externos que impidan el funcionamiento de los sistemas propiciando periodos de inactividad empresarial. • El análisis y gestión de los riesgos previene a las empresas de este tipo de situaciones negativas para su actividad y recoge una serie de factores fundamentales para su consecución. Identificación de activos Para realizar un análisis de riesgos efectivo, el primer paso es identificar todos los activos de la empresa. Estos activos incluyen todos los recursos relacionados con la gestión e intercambio de información de la empresa, como software, hardware, vías de comunicación, documentación digital y manual e incluso de recursos humanos. Riesgos y Amenazas Una vez se identifiquen todos los activos de información que componen la empresa, deben definirse las amenazas a las que pueden estar expuestos. Estas amenazas pueden ser de diferente índole, como ataques externos, desastres naturales o errores humanos Ataques externos. Los ciber-delincuentes siempre tienen en su punto de mira a las empresas y sus sistemas, con el objetivo de robar información (bancaria o de otra índole comercial o personal). Errores humanos. La intervención humana en los procesos informáticos siempre está expuesta a que se cometan errores (intencionados o no intencionados). Por ejemplo, un empleado sin los conocimientos suficientes, o con privilegios superiores a los de su función, puede realizar acciones que comprometan los datos o produzcan un malfuncionamiento en los sistemas. Desastres naturales. Es posible que se den situaciones que pongan en peligro los activos informáticos de la empresa como inundaciones o sobrecargas en la red eléctrica. Situaciones extraordinarias, como la pandemia del COVID-19. Las crisis a menudo reducen los niveles de alerta y protección y llevan a los ciberdelincuentes a aprovecharse de esta situación operando bajo esquemas maliciosos. 4.4.- Clasificación de los controles. El control interno se materializa fundamentalmente en controles de dos tipos: • Controles manuales. Son aquellos que son ejecutados por el personal del área usuaria o de informática sin la utilización de herramientas computacionales. • Controles Automáticos: son generalmente los incorporados en el software, llámense estos de operación, de comunicación, de gestión de base de datos, programas de aplicación, etc. 4.5.- Prueba de los controles. Son pruebas que realiza el auditor con el objeto de conseguir evidencia que permita tener seguridad razonable de que los controles internos establecidos por la empresa auditada están siendo aplicados correctamente y son efectivos. De acuerdo a la NIA 330: el auditor debe diseñar y ejecutar pruebas de control en caso de que: El auditor tenga previsto confiar en la eficacia operativa de los controles y esto sea un factor que determine la naturaleza y extensión de los procedimientos sustantivos. Los procedimientos sustantivos por sí mismos no puedan proporcionar evidencia de auditoría suficiente y adecuada. Normalmente, en las pruebas de control se selecciona una muestra representativa de transacciones para: Observar la operación de un procedimiento del control interno.
Indagar sobre cómo y cuándo se desarrolló el procedimiento.
Re-ejecutar la operación del procedimiento de control.