Scribd Logo
Upload

Welcome to Scribd!

  • As

    Uploaded by

    Hernán Velarde García
    52 views38 pages

    Original Title

    as

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    52 views38 pages

    As

    Uploaded by

    Hernán Velarde García

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 38

    Auditora de Sistemas

    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    La Auditoria de Sistemas es el conjunto de tcnicas que permiten detectar deficiencias en las organizaciones y en los sistemas que se desarrollan u operan en ellas, incluyendo los servicios externos de computacin, que permitan efectuar acciones preventivas y correctivas para eliminar las fallas y carencias que se detecten.
    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    Cmo lo hace?
    Se verifica la existencia y aplicacin de todas las normas y procedimientos requeridos para minimizar las posibles causas de riesgos tanto en las instalaciones y equipos, como en los programas computacionales y los datos, en todo el mbito del Sistema: usuarios, instalaciones, equipos. Las Instituciones efectan Auditorias de Sistemas, con la finalidad de asegurar la eficiencia de las organizaciones de informtica, as como la confiabilidad y seguridad de sus sistemas.

    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    OB J E T I V O S

    ASPECTOS A CONTROLAR
    El Proyecto de Desarrollo de Sistemas est enmarcado dentro del Plan General de Sistemas

    El Cronograma del Proyecto sea realista y el Sistema est operativo en forma oportuna, de acuerdo a las necesidades de la Institucin.
    Se aplique la Metodologa de Desarrollo de Sistemas Exista un control permanente de la consistencia confiabilidad de los Sistemas Informticos. y

    La Calidad del Sistema producido, ptima operatividad del mismo

    permita una

    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    ASPECTOS A CONTROLAR
    La tecnologa utilizada sea la ms adecuada a los fines del sistema y permita una vida til satisfactoria para la inversin realizada. Los Costos, tanto del desarrollo como de su operacin y mantenimiento, sean los planificados y exista un retorno de la inversin
    Se hayan logrado los beneficios esperados

    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    INSTRUMENTOS DE CONTROL
    Documentacin de las Sub-etapas del Desarrollo e Implantacin de Sistemas. Reuniones de Revisin Tcnica. Benchmark o pruebas del sistema. Formularios de Control.

    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    Planeamiento y diseo de las pruebas de control


    Deben considerar estas pruebas naturaleza y extensin de las pruebas auditoria. De acuerdo a esto disear el Plan de pruebas a ejecutar. Finalmente el Diseo de las pruebas auditoria
    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    la de

    las
    de

    Ejecucin y Evaluacin de los resultados de las pruebas


    Una vez, ejecutadas las pruebas se debern evaluar los resultados de las mismas y determinar en qu mdulos el Sistema no es confiable y controles que no posee, que deban ser imprescindibles Producto de la revisin del Sistema se debern preparar el Informe de Auditoria y Control del Sistema. El informe preliminar debe ser opinado y recibirse los comentarios del caso para recin emitir el informe final

    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    Revisin, Opinin y Seguimiento del Informe de Auditoria


    Tanto el rea usuaria, como el rea de sistemas que desarroll o administra la operacin del Sistema, debe tener la oportunidad de revisar y opinar sobre el informe preliminar, de tal forma de asegurar que se estn aceptando las observaciones indicadas. Siendo el objetivo de este trabajo que se mejore el sistema y se superen sus deficiencias para beneficio de la Institucin, se deber, a travs de un Registro de Seguimiento, efectuar el control de las acciones tomadas y las observaciones superadas.
    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    FUNCIONES FUNCIONES DE LA AUDITORA DE SI (1)

    1) 2)

    Velar por la eficacia y eficiencia del sistema informtico, de forma que ste alcance con el menor coste posible los objetivos. Verificar el cumplimiento de las normas y estndares vigentes en la organizacin (leyes de firma electrnica, de proteccin de datos de carcter personal, de propiedad intelectual del software, etc.).
    Supervisar el control interno ejercido sobre los sistemas de informacin conducente a la proteccin de los activos de informacin de informacin de la organizacin: recursos humanos, locales e instalaciones, infraestructuras tecnolgicas, sistemas y aplicaciones, informacin tributaria.

    3)

    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    10

    FUNCIONES FUNCIONES DE LA AUDITORA DE SI (2)

    4)

    Verificar la calidad de los sistemas de informacin de la organizacin y proponer mejoras de los mismos, coherentes con el proyecto de calidad adoptado por la organizacin (cumplimiento de normas de calidad o modelo de excelencia en gestin). Comprobar e impulsar la seguridad de los sistemas de informacin.

    5)

    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    11

    FUNCIONES

    6)

    Comprobar el cumplimiento de los requerimientos de negocio de la informacin, es decir las propiedades que la informacin debe tener para optimizar su utilizacin por la organizacin.

    7)

    Analizar la gestin de los riesgos asociados a los sistemas de informacin, proponiendo la adopcin de medidas que mejoren el sistema de anlisis y gestin de los riesgos informticos, o que conduzcan a que los riesgos sean mitigados, eliminados, compartidos o aceptados por la organizacin.

    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    12

    ASPECTOS A REVISAR
    La documentacin del sistema. El procedimiento del sistema. La operatividad del sistema. Controles del sistema. Integridad de los datos. Validez de los resultados. Seguridad del sistema. Sistema de Respaldo. Auditabilidad del sistema. Efectividad del sistema

    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    CONTROLES DEL SISTEMA


    Generacin del Dato Ingreso del Dato La Transmisin del Dato El Procesamiento del Dato Actualizacin de Archivos Emisin de Reportes y Consultas

    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    INTEGRIDAD DE LOS DATOS


    Adicionalmente a los controles anteriormente mencionados, para fines de asegurar la integridad de los datos en cuanto a su completitud y confiabilidad, el sistema debe poseer programas que rastreen los archivos y determinen incongruencias y falta de cuadre de la informacin. Debe asimismo, en forma externa, establecerse procedimientos de comparacin de la informacin producida por el sistema contra otras informaciones disponibles, para efectos de determinar la confiabilidad de la informacin. Dentro de este aspecto estn las circularizaciones de comprobacin de la informacin del computador con las reas o personas involucradas.
    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    SEGURIDAD DEL SISTEMA


    Seguridad en el acceso a la informacin: un esquema global de seguridad de acceso a la informacin, donde deben existir para cada rea y para cada funcionario Seguridad del sistema:Acceso y Seguridad a los Programas. Seguridad contra virus y hackers. Seguridades Fsicas:Los ambientes donde se procesan los sistemas deben contar con un suministro de energa elctrica de calidad, con pozo de lnea a tierra, estabilizadores, UPS, equipos de reemplazo de energa elctrica, y extintores contra incendio.

    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    SISTEMA DE RESPALDO
    Sistema tolerante a fallas. Tape-backup. Equipo de capacidad similar de respaldo Instalador del Sistema o Backup del Sistema. Para ser llevado a otra instalacin en caso de necesitarlo. Backup de la Base de Datos por lo menos del turno anterior. Para recuperacin en caso de fallas o cadas.

    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    AUDITABILIDAD DEL SISTEMA


    Todo Sistema debe tener la capacidad de poder ser auditado, para lo cual debe reunir una serie de caractersticas que lo permitan :
    Contar con la documentacin completa. Disponer de una biblioteca de pruebas. Disponer de Log del Sistema. Contar con reportes de auditoria del sistema. Contar con reporteadores de base de datos para producir reportes de cruce de informacin.

    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    EFECTIVIDAD DEL SISTEMA


    Uno de los aspectos ms importante del sistema, por ser su razn de ser, es que sea efectivo en conseguir los objetivos y beneficios esperados, por lo que se deber.
    Efectuar visitas a los usuarios e indagar sobre su opinin respecto a : su satisfaccin de los resultados del sistema y el grado de confiabilidad que le dan al sistema. Evaluar en forma independiente en qu magnitud los beneficios han sido conseguidos y cules son las razones o limitaciones que impiden que stos se logren.

    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    MODALIDADES DE PRUEBAS
    Pruebas de Rutas :Tambin es conocida como prueba de cdigo. Examina la lgica del programa, para lo cual se desarrollan casos de prueba que fuercen a probar la ejecucin de todas las instrucciones de cada mdulo o ruta de un programa. Pruebas de Especificacin :En sta, se examina el sistema bajo diferentes situaciones. Que ejecute lo que indican las especificaciones, bajo casos de pruebas preparados para dicho fin. Se tratan a los programas como si fueran cajas negras, slo siendo de inters de que si se cumplen siempre las especificaciones, el sistema no falla.
    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    PRUEBAS ESPECIALES DE SISTEMA


    Prueba Prueba Prueba Prueba Prueba Prueba de de de de de de carga mxima. almacenamiento. tiempo de ejecucin. recuperacin. procedimientos. recursos humanos

    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    El Control Interno al Servicio de Informtica debe contemplar


    La Organizacin. Los Procedimientos Generales. Metodologas Utilizadas. Recursos Humanos. Seguridad

    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    EVALUACION Y CONTROL DE LA ORGANIZACION


    Las funciones que deben existir son :
    Desarrollo de Sistemas. Operacin de Sistemas. Mantenimiento de Sistemas. Soporte Tcnico. Soporte a equipos. Control de Sistemas.

    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    PROCEDIMIENTOS
    Las normas que deberan disponer son :
    Norma Norma Norma Norma Norma Norma Norma de de de de de de de Anlisis de Sistemas. Diseo de Sistemas. Programacin de Sistemas. Implantacin de Sistemas. Operacin de Sistemas. Mantenimiento de Sistemas. Control de Sistemas.
    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    PROCEDIMIENTOS
    Los procedimientos que debieran estar disponibles son : Procedimientos de Operacin de todos los Sistemas. Procedimiento General de Seguridad. Procedimiento General de Respaldo de la Informacin. Procedimientos ante Contingencias. Procedimientos de Administracin de Bibliotecas de Software
    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    DE LOS SERVICIOS EXTERNOS DE COMPUTACION


    Dependiendo de la poltica de la Institucin puede ser encargado el desarrollo, la implantacin y la operacin de uno o varios sistemas a Servicios Externos de Computacin. En estos casos tambin deben aplicarse los mismos controles y verificaciones indicados en la presente norma, donde el rea de Informtica de la Institucin deber efectuar permanentemente la tarea de fiscalizacin de los Servicios Externos de Computacin.
    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    DE LOS SERVICIOS EXTERNOS DE COMPUTACION


    Los Servicios Externos de Computacin deben ser controlados en base a la funcin SubContratada, aplicando para cada caso la parte correspondiente de las normas y controles establecidos

    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    RESPONSABILIDAD DEL AUDITOR


    A los auditores que realizan auditorias reglamentarias no se les exige considerar la vulnerabilidad de la empresa ante la prdida de sus instalaciones de proceso de datos. En la mayora de las empresas existe la obligacin de mantener en todo momento registros contables adecuados y el auditor tendr que informar si no fuera as. Si, durante el curso de auditoria, los auditores tuvieran razones para pensar que las disposiciones de seguridad de la empresa y los planes de emergencia no fueran adecuados, debern reflejar sus opiniones al Consejo de Direccin, a travs del informe de auditoria.
    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    El Auditor realiza anlisis de seguridad informtica y de planificacin de emergencia


    Examinar sistemticamente todos los riesgos que intervengan y acotarn las prdidas probables en cada caso. Considerar las maneras de aumentar la seguridad para reducir los riesgos. Recomendar todas las acciones necesarias de proteccin encaminadas a reducir el riesgo de que se produzca una interrupcin, en caso de que se produzca. Cuando corresponda, estudiar la cobertura de seguros de la empresa.

    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    RESPONSABILIDAD DEL AUDITOR RESPECTO AL FRAUDE


    La responsabilidad del auditor externo para detectar irregularidades o fraude se establece en las normas y estndares de auditoria. Aunque el cometido de los auditores externos no exige normalmente la bsqueda especfica de fraudes, la auditoria deber planificarse de forma que existan unas expectativas razonables de detectar irregularidades materiales o fraude. El cometido y responsabilidad de los auditores internos vienen definidos por la direccin de la empresa a la que pertenecen. En la mayora de ellas, se considera que la deteccin del fraude forma parte del cometido de los auditores internos.
    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    SISTEMAS Y EMPRESAS QUE CORREN MAS RIESGOS DE FRAUDE


    Evidentemente el artculo que resulta ms atractivo robar es el dinero o algo de valor. Por lo tanto, los sistemas que pueden estar ms expuestos a fraude son los que tratan pagos, como los de nmina, ventas, o compras. En ellos es donde es ms fcil convertir transacciones fraudulentas en dinero y sacarlo de la empresa. Por razones similares, las empresas constructoras, bancos y compaas de seguros, estn ms expuestas a fraudes que las dems
    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    FRAUDE INFORMATICO
    Notas de gastos incorrectas Recibos de salarios incorrectos Notas de abono a clientes con los que el defraudador est en connivencia Descuentos favorables a clientes que estn en connivencia con el defraudador Creacin de cuentas ficticias a beneficio del defraudador; por ejemplo, crear registros falsos de empleado en la nmina para que el defraudador reciba ms salarios. Pasar dos veces las mismas transacciones utilizando los sistemas normal y "urgente" o de "respaldo" y explotar la debilidad de los controles
    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    FRAUDE PERPETRADO POR PERSONAL INFORMATICO


    El tipo de fraude ms frecuente, dentro de esta categora es la manipulacin no autorizada de los programas. Presenta problemas especiales, porque los programas pueden modificarse de forma que produzcan una salida que desoriente totalmente al personal de control o a los auditores.

    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    DETECCION Y PREVENCION DE PERDIDAS Y FRAUDE


    Los procedimientos de control interno siguientes no tienen ninguna sustitucin posible:
    Divisin de funciones, para evitar que una persona procese todos los aspectos de las transacciones. Nivel de supervisin adecuado. Control de acceso a los terminales. Control sobre el proceso de los datos rechazados. Control sobre las modificaciones de los programas.

    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    DETECCION Y PREVENCION DE PERDIDAS Y FRAUDE


    Siempre que se pueda, ejercer un control manual sobre los ficheros importantes que se utilizan en procesos mecanizados y que se mantienen en los departamentos usuarios. Hacer peridicamente reconciliaciones bancarias, inventarios, etc., para identificar rpidamente la discrepancias. Revisin peridica de controles e investigacin rpida de las diferencias que aparecen, por personas de nivel y experiencia suficiente de la empresa.
    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    ASPECTOS LEGALES DEL FRAUDE INFORMATICO.


    Si sospechase de fraude, el auditor deber avisar a la alta direccin para que se pongan en contacto con su asesor jurdico, o con la polica, sin levantar las sospechas del personal o los clientes que estuviesen involucrados. El auditor deber asegurar tambin que los originales de los documentos que pudieran utilizarse como prueba estn custodiados y a salvo y que ninguna persona que sea sospechosa de fraude tenga acceso a ellos.
    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    AUDITORIAS DE EFICIENCIA
    Cuando se hable de eficiencia, los auditores tendrn que tener en cuenta lo siguiente: Las bases de referencia del grupo de auditoria. A que nivel informan los auditores. El apoyo que la direccin presta a los auditores. El respeto que tenga el departamento de proceso de datos hacia el grupo de auditoria. La competencia tcnica del equipo de auditoria. La eficiencia del departamento de proceso de datos, en la que se incluyen ms factores de proteccin y seguridad, puede considerarse a distintos niveles
    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    Bibliografia
    PIATTINI Mario y DEL PESO Emilio. Auditora Informtica: Un enfoque Prctico. 2 Edicin. Ed. Alfa Omega. Mxico. 2002. ISBN: 9701503546.

    Ing. Oswaldo Daniel Casazola Cruz CIP 95831

    You might also like