Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AUDITORIA A SISTEMAS EN PRODUCCIÓN Jime1
AUDITORIA A SISTEMAS EN PRODUCCIÓN Jime1
DEFINICIN
Es la revisin de carcter objetivo, crtico, sistemtico y selectivo de las polticas, normas, prcticas, funciones, procesos, procedimientos e informes relacionados con los sistemas en produccin, con el fin de emitir una opinin profesional con respecto a:
DEFINICIN
Evaluacin de los diferentes sistemas en operacin Flujo de informacin Procedimientos Documentacin Redundancia Controles Utilizacin de los sistemas Recursos asignados (humanos y hardware) Seguridad fsica y lgica de los sistemas
OBJETIVOS
Al auditar los sistemas en produccin el auditor se debe enfocar en perseguir dentro de la empresa los objetivos siguientes
oportunidad
mantenimiento utilidad de la informacin dentro de la empresa.
Las actividades relacionadas con los se relacionan con factores como: personas, aplicaciones, tecnologas, explotacin y datos. Adems de una conexin con 7 criterios de Informacin:
Eficacia Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento normativo (legalidad vigente y regulacin interna) Fiabilidad
D EFINICIN DE LA FUNCIN
El funcionamiento correcto se caracteriza por:
Disponer de todos los elementos necesarios Por parte de los usuarios autorizados En el momento requerido Con el rendimiento adecuado
N IVEL
DE SERVICIO
El nivel de servicio es una serie de parmetros cuya medicin es capaz de determinar objetivamente el mayor o menos grado de eficacia del servicio prestado. No solo se trata de tener un sistema disponible, sino que adems debe hacerlo bien, a travs de la medicin de tiempos de respuesta que den una medida de la calidad del servicio.
La satisfaccin de los usuarios es fruto del resultado general del servicio y depende tanto de la eficacia de las aplicaciones como de la eficiencia del sistema
L OS
PROCEDIMIENTOS
De la orientacin hacia el servicio se deduce la tarea de administracin de los recursos del SI, que debe optimizar los parmetros antes mencionados, cuestin que ha de convertirse en el objetivo de nuestro procedimientos. Podemos efectuar una clasificacin en:
Instalacin y puesta en servicio Mantenimiento y soporte Requisitos para otros componentes Resolucin de incidencias Seguridad y control Informacin sobre la actividad
Definicin y preparacin de la auditoria y cronograma de trabajo, se selecciona el equipo auditor Actividades: Seleccionar el sistema a auditar. Estudiar la metodologa para auditar el sistema. Disear el formato para el plan de trabajo. Determinar las actividades para cada una de las fase de la metodologa. Estimar la duracin, recursos y resultado para cada una de las fases. Elaborar el plan de trabajo.
Recopilar pruebas que sustenten las opiniones del auditor Actividades Obtener programas fuentes. Verifica el funcionamiento del sistema. Imprimir todas las pantallas principales. Analizar los procedimientos de los programas Ubicar las debilidades a nivel de pantalla que presenta el sistema
Cuadro de debilidades de pantalla Debilidades Explicacin Existe una sola clave para todos los usuarios del sistema.
Pantallas similares. Cuesta diferenciar en que parte del sistema el operador se ubica.
La fuente no es adecuada.
El auditor puede recopilar los flujos de informacin, actividades, operaciones y procesos. Actividades: Obtener el programa fuerte. Imprimir los programas fuente. Imprimir las pantallas principales. Ubicar las debilidades del programa. Recolectar evidencias. Elaborar el cuadro de debilidades del programa y archivos.
Actividades:
Actividades:
Actividades: Realizar una descripcin del sistema. Recopilar todas las debilidades y fortalezas encontradas. Recomendar y sealar las evidencia para cada debilidad del sistema. Emitir recomendaciones generales sobre el sistema. Elaborar el informe final de auditoria. Elaborar el informe oral de la auditoria.
A LCANCE
R UBROS
A REVISAR
De manera general se consideran flujo de informacin, procedimientos, documentacin, redundancia, organizacin de archivos, controles, utilizacin de los sistemas lo que incluye:
Entradas.
Salidas. Procesos. Especificaciones de datos.
Especificaciones de proceso.
Mtodos de acceso. Operaciones.
Responsables.
Nmero de usuarios.
NORMATIVIDAD
La Asociacin de Auditora y Control de Sistemas de Informacin ha determinado que la naturaleza especializada de la auditora de los sistemas de informacin y las habilidades necesarias para llevar a cabo este tipo de auditoras, requieren el desarrollo y la promulgacin de Normas Generales para la Auditora de los Sistemas de Informacin.
DEL SECTOR
La naturaleza especializada de la auditora a los sistemas de informacin (SI), as como las destrezas necesarias para llevar a cabo tales auditoras, requiere de estndares que aplican especficamente a la auditora de SI. Uno de los objetivos de la Asociacin de Auditora y Control de los Sistemas de Informacin (Information Systems Audit and Control Association, ISACA) es promover estndares aplicables internacionalmente para cumplir con su visin.
El desarrollo y difusin de los Estndares de Auditora de SI son una piedra angular de la contribucin profesional de ISACA a la comunidad de auditora. La estructura para los Estndares de Auditora de SI brinda mltiples niveles de asesoramiento:
Estndares.- Definen requisitos obligatorios para la auditora y el reporte de SI. Directrices.- Proporcionan asesoramiento en la aplicacin de los Estndares de Auditora de SI. Procedimientos.- Proporcionan ejemplos de procedimientos que podra seguir un auditor de SI
Existen normas que el auditor de sistemas de informacin debe dominar para su correcta evaluacin. El auditor de sistemas de informacin debe estar preparado para justificar cualquier incumplimiento a stas en la empresa.
Normas Internacionales de Auditora emitidas por IFAC (International Federation of Accountants) en la NIA 15 y 16, donde se establece la necesidad de utilizar otras tcnicas adems de las manuales.
Norma ISA 401, sobre Sistemas de Informacin por Computadora. SAS No. 94 Una organizacin que usa Tecnologas de Informacin, se puede ver afectada en uno de los siguientes cinco componentes del control interno: el ambiente de control, evaluacin de riesgos, actividades de control, informacin, comunicacin y monitoreo adems de la forma en que se inicializan, registran, procesan y reporta las transacciones.
La norma SAP 1009 (Statement of Auditing Practice) denominada Computer Assisted Audit Techniques (CAATs) o Tcnicas de Auditora Asistidas por Computador, plantea la importancia del uso de CAAT en auditoras en un entorno de sistemas de informacin por computadora.
SAP 1009 los define como programas de computadora y datos que el auditor usa como parte de los procedimientos de auditora para procesar datos de significancia en un sistema de informacin.
En materia de calidad se encuentran las siguientes Norma NMX-CC-9000-IMNC-2000 (COPANT/lSO 9000-2000) Sistemas de Gestin de la Calidad - fundamentos y vocabulario aplicado a sistemas. Norma NMX-CC-SAA-19011-IMNC-2002 (COPANT/lSO 19011-2002) Directrices para la Auditora de los Sistemas de Gestin de la Calidad.
La proteccin jurdica de la informacin personal La proteccin jurdica del software Los convenios o contratos informticos Los delitos informticos El valor probatorio de los documentos electromagnticos
NORMATIVIDAD
Tomando en cuenta principios de control como son :
INTERNA
Los programas deben ser probados con datos que agoten todas las excepciones posibles.
Informe de factibilidad Diagrama de bloque Objetivos del programa Listado original del programa y versiones Formatos de salida
Asegurar que todos los datos sean procesados. Garantizar la exactitud de los datos procesados. Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditora Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.
DE
O PERACIN
Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cmputo durante un proceso Evitar o detectar el manejo de datos con fines fraudulentos Garantizar la integridad de los recursos informticos. Asegurar la utilizacin adecuada de equipos acorde a planes y objetivos.
Implantar claves o password para garantizar operacin a personal autorizado. Formular polticas respecto a seguridad, privacidad y proteccin de las facilidades de procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de violacin y como responder ante esos eventos. Mantener un a bitcora de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones de procesos. Los backups deben guardarse en lugares seguros y adecuados Se deben implantar calendarios de operacin a fin de establecer prioridades de proceso. Todas las actividades del Centro de Computo deben normarse mediante manuales, instructivos, normas, reglamentos, etc. Instalar equipos que protejan la informacin y los dispositivos en caso de variacin de voltaje Contratar plizas de seguros para proteger la informacin, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operacin.
FSICOS Y LGICOS
Passwords Firmas digitales Validacin de campos Validacin de excesos Conteo de registros Cifras de control Cancelacin de lotes Verificacin de secuencias
Existencia: Aseguran la disponibilidad de los datos Proteccin de Activos: Destruccin o corrupcin de informacin o del hardware
HERRAMIENTAS
Es un software de origen canadiense. Desarrollada por Audimation Services. Nos permite disminuir costos de anlisis, realzar la calidad del trabajo y adquirir nuevos roles. Con esta herramienta se puede leer, visualizar, analizar y manipular datos; llevar a cabo muestreos y extraer archivos de datos desde cualquier origen ordenadores centrales a PC, incluso reportes impresos.
REAS DE USO
Auditora externa de estados financieros. Auditora interna. Deteccin de fraudes. Informes y anlisis de gestin. Transferencias de archivos. Bancos e instituciones financieras Industrias.
FUNCIONES
Importacin de datos. Manejo de archivos y clientes. Estadsticas de campo. Historial. Extracciones. Extraccin indexada. Extraccin por valor clave @Funciones. Conector Visual Grficos. Ley de Benford.
ACL Services es una empresa privada ubicada en Vancouver, Canad, con representantes en ms de 30 pases. ACL es una herramienta enfocada al acceso de datos, anlisis y reportes para auditores y profesionales financieros. Una de las ventajas de esta herramienta es que no es necesario ser un especialista en el uso de CAAT ya que su uso es muy amigable, esta herramienta reduce el riesgo y asegura el retorno de la inversin, tambin posee una poderosa combinacin de accesos a datos, anlisis y reportes integrados, ACL lee y compara los datos permitiendo a la fuente de datos permanecer intacta para una completa integridad y calidad de los mismos. ACL permite tener una vista inmediata de la transaccin de datos crticos en la organizacin.
FUNCIONES
La metodologa Audicontrol APL versin 2005 y el software en el que sta se apoya, proveen ayudas para asistir a los diseadores de controles, analistas de seguridad y analistas de riesgos, en el desarrollo de todas las etapas de proyectos de Gestin de Riesgos y Diseo de Controles Internos o de Rediseo, Reingeniera del Sistema de Control Interno existente para procesos de negocio, sistemas de informacin (Aplicaciones de Computador) y la Infraestructura de Tecnologa de Informacin de la organizacin.
O BJETIVOS
Reducir o eliminar los controles costosos e inefectivos. Define con precisin las reas de riesgo, mientras se desarrollan adecuadas medidas de control. Evala los estndares de control utilizados. Enfatiza las responsabilidades de la administracin por el desarrollo y monitoreo efectivo de los sistemas de control interno. Comunicar los resultados a otros.
AuditMaster de Pervasive, es una solucin de supervisin de transacciones a nivel de base de datos. Este sistema controla e informa de toda la actividad que tiene lugar en una base de datos Pervasive.SQL. La tecnologa de AuditMaster consiste en capturar las operaciones que se realizan en la base de datos y escribirlas en un archivo de registro. AuditMaster se divide en tres componentes:
1.
2.
3.
DELOS
Delos es un sistema experto que posee conocimientos especficos en materia de auditora, seguridad y control en tecnologa de informacin.
Este conocimiento se encuentra estructurado y almacenado en una base de conocimiento y puede ser incrementado y/o personalizado de acuerdo con las caractersticas de cualquier organizacin y ser utilizado como una gua automatizada para el desarrollo de actividades especficas.
CARACTERISTICAS
Orientacin al negocio Base de conocimientos Fundamento metodolgico Personalizable a las caractersticas y requerimientos de cada empresa Multicompaia y multiproyecto
C ARACTERSTICAS
DE
ACL
Funcionalidad incorporada para auditas y analizar los datos Facilidad para el anlisis interactivo Alta capacidad y velocidad Facilidad de uso Anlisis universal de datos Procesamientos de varios archivos Informacin de muy alta calidad Herramientas avanzadas para la productividad Detalle integral del trabajo realizado
V ENTANAS
DE
ACL
I NTEGRIDAD
DATOS
DE
C ONTAR R EGISTROS
V ERIFICAR
DATOS DE CAMPO
R ECOPILACIN DE D ATOS
E STADSTICAS
C REACIN
DE GRFICAS
Esta funcin realiza un conteo de ocurrencia de dgitos iniciales en un archivo y compara el conteo real con el conteo esperado.
C REACIN
DE GRAFICAS
E STRATIFICAR
Esta opcin se usa para resumir datos segn intervalos numricos y lo que genere es un conteo de registros por cada intervalo establecido y calcula el porcentaje de recuento total. Para ello es necesario especificar un valor mnimo y un valor mximo.
E STRATIFICAR
C LASIFICAR
Esta opcin permite resumir intervalos con base en valores nicos en un solo campo de caracteres
P RUEBAS
DE
S ECUENCIA
S ECUENCIA
Esta determina si los datos en campos especificados estn en orden secuencial, tambin se pueden detectar duplicados
FALTANTES
Detecta elementos que estn faltando en un campo ordenado
D UPLICADOS
E XTRAER
Permite copiar datos seleccionados del archivo actual para otro archivo.
E XPORTAR
Permite copiar datos seleccionados del archivo actual para otro archivo, ACL permite leer datos desde cualquier fuente de datos y crea archivos de salida en formatos:
R EORGANIZACIN
DATOS
DE
O RDENAR
Crea un nuevo archivo de datos en el que los regitros se reorganizan en base a campos clave, adecuado para mejorar reportes.
I NDEXAR
Crea un nuevo archivo de ndice separad que permite acceso a los registros de un archivo de datos en orden lgico
M UESTREO E STADSTICO
Ayudara a obtener una conclusin valida estadsticamente sobre una poblacin de datos a partir de un numero pequeo de muestras.
Soporta 2 tcnicas:
Brinda 3 mtodos:
M UESTREO E STADSTICO
Tamao: tamaos e intervalos adecuados Muestreo: Para sacar muestras de una poblacin Evaluar : determinar el efecto de errores detectados en sus muestras
O PERACIONES DE ARCHIVOS
MLTIPLES
UNIR
Permite combinar campos de 2 archivos con estructuras diferentes en un tercer archivo. Se usa para comparar datos de ambos archivos e identificar registros correspondientes o no, en uno o ambos archivos.
R ELACIONAR
Permite el acceso simultaneo de datos desde 2 o ms archivos, ambos debern tener un campo en comn.
F ILTROS
Permiten delimitar el mbito de los datos que sern analizados. Existen 2 categoras:
Filtros globales: restringe los datos que se podrn analizar mientras el filtro este activo. Filtro locales: se combina con comandos simples u operaciones para definir el mbito de anlisis