unidad ii fases de la auditoria de sistemas
TRANSCRIPT
LOGO
Unidad II “Auditoría a un Sistema en Producción”
REPÚBLICA BOLIVARIANA DE VENEZUELAUNIVERSIDAD NACIONAL EXPERIMENTAL MARÍTIMA DEL CARIBE
VICERRECTORADO ACADÉMICO – DIRECCIÓN DOCENTE Unidad Curricular: Auditoría de Sistemas
Profa. Eva C. Salmerón M.
29/09/2015 1era Parte
LOGOContents
Las 7 Fases de la Auditoría Informática1
Auditoría de Aplicaciones en Desarrollo2
3
Contenidos
LOGOHot TipFases de la Auditoria Informática
Fase I• Conocimiento del
Sistema
Fase II• Análisis de
Transacciones y Recursos
Fase III• Análisis de Riesgos
y Amenazas
LOGOHot TipFases de la Auditoria Informática
Fase IV• Análisis de
Controles
Fase V• Evaluación de
Controles
Fase VI• El Informe de
AuditoríaFase VII
• Seguimiento de las Recomendaciones
LOGODiagramFase I: Conocimiento delSistema
1.1. Aspectos Legales y Políticas Internas.Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluación.
1.2.Características del Sistema Operativo.Organigrama del área que participa en el sistemaManual de funciones de las personas que participan en los procesos del sistemaInformes de auditoría realizadas anteriormente
1.3.Características de la aplicación de computadoraManual técnico de la aplicación del sistemaFuncionarios (usuarios) autorizados para administrar la aplicaciónEquipos utilizados en la aplicación de computadoraSeguridad de la aplicación (claves de acceso)Procedimientos para generación y almacenamiento de los archivos de la
aplicación.
LOGODiagramFase II Análisis de Transacciones y Recursos
2.1.Definición de las transacciones.Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deberá ser asignada con los administradores.
2.2.Análisis de las transaccionesEstablecer el flujo de los documentosEn esta etapa se hace uso de los flujogramas ya que facilita la visualización del funcionamiento y recorrido de los procesos.
2.3.Análisis de los recursosIdentificar y codificar los recursos que participan en el sistema
2.4.Relación entre transacciones y recursos
LOGODiagramFase III Análisis de Riesgos y Amenazas
3.1.Identificación de riesgos:Daños físicos o destrucción de los
recursosPérdida por fraude o desfalcoExtravío de documentos fuente,
archivos o informesRobo de dispositivos o medios de
almacenamientoInterrupción de las operaciones del
negocioPérdida de integridad de los datosIneficiencia de operacionesErrores
LOGODiagramFase III Análisis de Riesgos y Amenazas
3.2.Identificación de las amenazas:Amenazas sobre los equipos:Amenazas sobre documentos fuenteAmenazas sobre programas de
aplicaciones
3.3.Relación entre recursos/amenazas/riesgos
La relación entre estos elementos deberá establecerse a partir de la observación de los recursos en su ambiente real de funcionamiento.
LOGODiagramFase IV Análisis de Controles
4.1.Codificación de controlesLos controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificación de los controles deben contener una codificación la cual identifique el grupo al cual pertenece el recurso protegido.
4.2.Relación entre recursos/amenazas/riesgosLa relación con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. Para cada tema debe establecerse uno o más controles.
4.3.Análisis de cobertura de los controles requeridosEste análisis tiene como propósito determinar si los controles que el auditor identificó como necesarios proveen una protección adecuada de los recursos.
LOGODiagramFase V: Evaluación de Controles
5.1.Objetivos de la evaluaciónVerificar la existencia de los controles requeridosDeterminar la operatividad y suficiencia de los controles
existentes 5.2.Plan de pruebas de los controlesIncluye la selección del tipo de prueba a realizar.Debe solicitarse al área respectiva, todos los elementos
necesarios de prueba.
5.3.Pruebas de controles
5.4.Análisis de resultados de las pruebas
LOGODiagramFase VI: El Informe de Auditoría
6.1. Informe detallado de recomendaciones6.2. Evaluación de las respuestas6.3. Informe resumen para la alta gerenciaEste informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de la áreas.Introducción: objetivo y contenido del informe de auditoriaObjetivos de la auditoríaAlcance: cobertura de la evaluación realizadaOpinión: con relación a la suficiencia del control interno del
sistema evaluadoHallazgosRecomendaciones
LOGODiagramFase VII: Seguimiento de Recomendaciones
7.1. Informes del seguimiento7.2. Evaluación de los controles implantados
LOGO
www.themegallery.com
29/09/2015
LOGO Cycle Diagram
RequerimientosSe debe preveer:
Auditoria de Aplicaciones en Desarrollo
Cada una de las fases del desarrollo de las nuevas aplicaciones informáticas deben ser sometidas a un minucioso control, a fin de evitar un aumento significativo de los costos, así como también insatisfacción de los usuarios.
Prototipo
Pruebas
Tiempo
LOGO Cycle Diagram Auditoria de los Datos de Entrada
Se analizará: La captura de la información en
soporte compatible con los Sistemas. El cumplimiento de plazos y
calendarios de tratamiento y entrega de datos.
La correcta transmisión de datos entre entornos diferentes.
Se verificará que los controles de integridad y calidad de datos se realizan de acuerdo a las Normas establecidas.
LOGODiagram
1Sistema Operativo
Verificar si la versión instalada permite el total funcionamiento del software que sobre ella se instala, si no es así determinar la causa
2 3Verificar que el uso y el rendimiento de la red sea el más adecuado
Se Audita:
Software de Aplicación Comunicaciones
Determinar el uso de las aplicaciones instaladas.
LOGODiagram
Lotes de Prueba: Transacciones simuladas que se introducen al Sistema a fin de verificar el funcionamiento del mismo. Entre los datos que se deben incluir en una prueba se tienen: Datos de Excepción, Datos ilógicos, Transacciones Erróneas.
Auditoría para el Computador: Permite determinar si el uso de los equipos decomputación es el idóneo. Mediante esta técnica, se detectanequipos sobre y subutilizados.
Prueba de Minicompañía: Revisiones periódicas que se realizan a los Sistemas a fin de determinar nuevas necesidades
Técnicas de Auditoría
Existen varias técnicas de Auditoría Informática de Sistemas, entre las cuales se mencionan:
LOGODiagram Peligros Informáticos
• Incendios: Los recursos informáticos son muy sensibles a los incendios, como por ejemplo reportes impresos, cintas, discos.
• Inundaciones: Se recomienda que el Departamento de computación se encuentre en un nivel alto. La Planta Baja y el Sótano son lugares propensos a las inundaciones.
• Robos: Fuga de la información confidencial de la empresa. • Fraudes: Modificaciones de los datos dependiendo de intereses particulares.
LOGODiagramMedidas de Contigencia
Mecanismos utilizados para contrarrestar la pérdida o daños de la información, bien seaintencionales o accidentales.La más utilizada es la Copia de Seguridad(Backup), en la cual se respalda la informa-ción generada en la empresa .
LOGODiagram – PowerPoint2002Copias de Seguridad
Las copias pueden ser totales o parciales y la fre-cuencia varía dependiendo de la importancia de la información que se genere.
BackupSe recomienda tener como mínimo dos (2)respaldos de la información,uno dentro de la empresa y otro fuerade ésta (preferiblemente en un Banco enCaja Fuerte).
LOGODiagramMedidas de Protección
Medidas utilizadas para garantizar la SeguridadFísica de los Datos.
Aquellos equipos en donde se generainformación crítica, deben tener unUPS. De igual forma, el suministro De corriente eléctrica para el área informática,debe ser independiente del resto de las áreas.
LOGODiagramMedidas de Control y Seguridad
Mecanismos utilizados para garantizar la Seguridad Lógica de los Datos.
En los Sistemas Multiusuarios se deben restringirel acceso a la Información, mediante un nombrede usuario (login) y una contraseña (password). Del mismo modo, se debe restringir el acceso a los Sistemas en horas no laborables salvo casosexcepcionales.
LOGO
www.themegallery.com
01/10/2015