Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Auditoria Sistema Informacion

    Cargado por

    Luis Maldonado
    12 vistas35 páginas

    Título original

    AUDITORIA_SISTEMA_INFORMACION

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    12 vistas35 páginas

    Auditoria Sistema Informacion

    Cargado por

    Luis Maldonado

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 35

    UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA

    DE LA FUERZA ARMADA BOLIVARIANA


    EXTENSIÓN PUNTO FIJO

    AUDITORÍA DE SISTEMAS
    DE INFORMACIÓN

    ING. GREGORY CADETTO


    PROCESOS DE AUDITORÍA

    ASI
    1. INTRODUCCIÓN
    2. OBJETIVOS DE LA ASI
    3. CONTROL INTERNO
    4. METODOLOGÍAS DE ASI
    5. ÁREAS DE REVISIÓN
    6. NORMAS Y REGULACIONES
    METODOLOGÍA TRADICIONAL:
    CUESTIONARIO

    El auditor revisa los controles con la


    ayuda de una lista de control que
    consta de una serie de preguntas o
    cuestiones a verificar

    La evaluación consiste en identificar


    la existencia de unos controles
    establecidos o estandarizados
    METODOLOGÍA basada en la
    EVALUACIÓN de RIESGOS

    El auditor realiza una evaluación del RIESGO


    POTENCIAL EXISTENTE
    Como consecuencia de la ausencia de controles
    o bien por ser un sistema deficiente, estos
    riesgos deben ser
     cuantificados y
     valorados
    de tal forma que permita determinar el nivel de
    fiabilidad que brinda el sistema sobre la
    exactitud, integridad y procesamiento de la
    información
    ELEMENTOS PRINCIPALES

    OBJETIVOS de CONTROL

    EVALUACIÓN de RIESGOS

    TÉCNICAS de CONTROL

    PRUEBAS INDEPENDIENTES

    CONCLUSIONES SUSTENTADAS
    OBJETIVO de
    CONTROL

    El objetivo de todo
    control es la
    REDUCCIÓN del
    RIESGO
    TÉCNICAS de CONTROL
    (Políticas y Procedimientos)
    Por cada objetivo de control/riesgo
    potencial
    se deben identificar las técnicas
    de control existentes que deben
    minimizar el riesgo,
    logrando cumplir así, el objetivo de
    control
    ENTORNO GENERAL
    de CONTROL

    CONTROLES
    en determinadas
    APLICACIONES

    Procesos de negocio automatizados


    CONTROLES de APLICACIÓN

    ENTRADA PROCESO

    SALIDA
    CONTROLES PREVENTIVOS

    CONTROLES DETECTIVOS

    CONTROLES CORRECTIVOS
    PRUEBAS
    Permiten obtener evidencia
    y
    verificar la consistencia de
    los controles existentes y
    también medir el riesgo por
    deficiencia de estos o por su
    ausencia
    PRUEBAS

    de CUMPLIMIENTO

    SUSTANTIVAS
    TÉCNICAS GENERALES

    1.ENTREVISTAS
    2.REVISIONES de DOCUMENTOS
    3.EVALUACIÓN de RIESGOS y
    CONTROLES
    4.MUESTREO ESTADÍSTICO
    5.VERIFICACIONES de CÁLCULOS
    6.PRUEBAS de CUMPLIMIENTO y
    SUSTANTIVAS
    7.HERRAMIENTAS de AUDITORÍA y
    SOFTWARE ESPECIFICO
    TÉCNICAS ESPECÍFICAS

    Son productos de software que


    permiten al auditor

    OBTENER INFORMACIÓN
    de los sistemas automatizados
    como evidencias de las pruebas
    que diseñen
    HERRAMIENTAS PROPIAS del
    AUDITOR y bajo su CONTROL

    1.Software de auditoría o de
    revisión de productos
    determinados o plataformas

    Permiten obtener una diagnosis de la


    situación de parámetros y otros aspectos y
    su relación con respecto a la seguridad y
    protección del software y de la información
    HERRAMIENTAS PROPIAS del
    AUDITOR y bajo su CONTROL

    2.Software de auditoría que


    permiten extraer información
    para su revisión, comparación,
    etc.
    Estos productos utilizados habitualmente
    por los auditores operativos o financieros,
    permiten extraer datos concretos o en base
    a muestras estadísticas
    UTILIDADES DEL SOFTWARE O
    PLATAFORMA A AUDITAR, BAJO EL
    CONTROL DE LA INSTALACIÓN
    AUDITADA

    Utilidades provistas por el software


    auditado: revisión de registros
    lógicos de actividades, edición de
    parámetros, etc.

    Productos específicos de rendimiento,


    control, calidad instalados en la plataforma
    a auditar: lenguajes de interrogación,
    software de librerías, depuradores de
    software, etc.
    SECUENCIA del
    PROCESO

    de una AUDITORÍA de
    SISTEMAS de
    INFORMACIÓN
    OBJETIVO de la AUDITORÍA I

    DEFINICIÓN del ALCANCE

    RECURSOS y TIEMPO

    RECOPILACION de INFORMACIÓN
    BÁSICA

    IDENTIFICACIÓN y EVALUACIÓN de
    RIESGOS POTENCIALES
    PROGRAMA de AUDITORÍA II

    IDENTIFICACION de ÁREAS
    CRÍTICAS y CONTROLES FUERTES

    PRUEBAS y TÉCNICAS a UTILIZAR

    REALIZACION de PRUEBAS y
    OBTENCIÓN de RESULTADOS
    EVALUACIÓN de RESULTADOS III
    y CONCLUSIONES

    CONSIDERACIÓN de OTROS
    CONTROLES COMPENSATORIOS o
    PRUEBAS ADICIONALES

    REVISIÓN y CIERRE de PAPELES de


    TRABAJO

    INFORME
    EVIDENCIAS, RESULTADOS y
    CONCLUSIONES
    Los resultados de cada prueba deben VALORARSE,
    obtener UNA CONCLUSIÓN, siempre teniendo
    en cuenta los OBJETIVOS y el ALCANCE de la
    auditoría

    EVIDENCIAS:
    PERTINENTES y SUFICIENTES
    FEHACIENTES
    VERIFICACIÓN de resultados
    INTERRELACIÓN con otros resultados
    Las conclusiones obtenidas deben
    comentarse y discutirse con los
    responsables directos del área
    afectada

    POR EJEMPLO:

    Puede haber limitaciones de


    recursos, en la realización de
    pruebas, en la disponibilidad de la
    evidencia.........
    Puede haber controles alternativos
    que el auditor no haya
    detectado..............
    Deben incluir
    DESCRIPCIÓN de la situación
    RIESGO existente,
    DEFICIENCIA a solucionar
    si corresponde, SUGERENCIA
    de solución

    CONEXIÓN con objetivo y otras


    deficiencias
    CUANTIFICACIÓN del
    riesgo
    PAPELES de
    TRABAJO de la
    Auditoría de SI
    Se deben realizar de ACUERDO a
    NORMAS de AUDITORÍA, y deben
    reflejar

    METODOLOGÍA utilizada
    COBERTURA del OBJETIVO de
    auditoría
    PRUEBAS realizadas y
    CRITERIOS utilizados
    RESULTADOS de las pruebas
    LIMITACIONES en las tareas
    realizadas

    DEFICIENCIAS en pruebas
    realizadas que puedan requerir
    alguna EXTENSIÓN ESPECIAL
    de la revisión y

    FALTA de CONSISTENCIA o
    claridad en las conclusiones
    INFORME

    Es necesario elaborar
    CONCLUSIONES GENERALES en base a
    los resultados obtenidos

    Todo informe incluirá:


    ALCANCE y OBJETIVO de la auditoría,
    METODOLOGÍA UTILIZADA,
    POSIBLES LIMITACIONES y
    CONCLUSIONES
    Es recomendable obtener junto con la
    presentación del borrador, una contestación o
    confirmación del área auditada /cliente
    /organización
    Reglas en la preparación de Informes

    • el vocabulario debe ser preciso,


    objetivo, cuidadoso, respetuoso,...
    • NO incluir juicios de valor,
    nombres propios, abreviaturas
    o iniciales de productos, ......
    y
    • frases con contenido y breves......
    INTERROGANTES
    ¿Cuál de las siguientes opciones brinda
    mejor control de acceso a los datos de
    nómina que se están procesando en un
    servidor local?

    1. Bitácora (log) de todos los accesos a la información


    personal
    2. Contraseña separada para las transacciones
    sensitivas
    3. Que el software restrinja las reglas de acceso al
    personal autorizado
    4. Acceso al sistema, restringido a horas hábiles
    El control más efectivo para un antivirus
    es:
    1. Escasear los archivos adjuntos de correo
    electrónico en el servidor de correo
    2. Restaurar sistemas a partir de copias limpias
    3. Deshabilitar las unidades de diskettes
    4. Un escaneo en línea con definiciones
    actualizadas de virus
    ¿Cuál de las siguientes es una función de
    control de acceso al sistema operativo?

    1. Registrar las actividades del usuario


    2. Registrar las actividades de acceso a la
    comunicación de datos
    3. Verificar la autorización de usuario a nivel de
    campo
    4. Cambiar los archivos de datos
    Una organización está proponiendo instalar una
    facilidad de clave única (single sign-on) que de
    acceso a todos los sistemas. La organización
    debe ser consciente de que:
    1. sería posible un acceso máximo no autorizado
    si se revelara una contraseña
    2. los derechos de acceso a usuario estarían
    restringidos por los parámetros adicionales de
    seguridad
    3. aumentaría la carga de trabajo del
    administrador de seguridad
    4. aumentarían los derechos de acceso del
    usuario

    También podría gustarte