Beruflich Dokumente
Kultur Dokumente
INFORMATICOS
Mag. Ing. Mario Ramos Moscol
CONCEPTO DE AUDITORIA
DE SISTEMAS (1)
Auditorius Auditora
Auditor tiene la virtud de oir y revisar cuentas.
Evaluar la eficiencia y eficacia con que se est
operando
Sealar alternativas de accin para corregir errores
mejorar la forma de actuacin.
Revisin, evaluacin y elaboracin de un informe
para el ejecutivo encaminado a un objetivo
especfico en el ambiente computacional y los
sistemas.
CONCEPTO DE AUDITORIA
DE SISTEMAS (2)
1. Verificar de qu manera se estn aplicando los
controles en el rea de actuacin de la
Informtica.
2. Examen y evaluacin de los procesos y del uso
de los recursos que en ellos intervienen,
determinado el grado de eficiencia, efectividad y
economa de los sistemas de la empresa,
presentando conclusiones y recomendaciones
encaminadas a corregir las deficiencias existentes
y mejorar los procesos.
CONCEPTO DE AUDITORIA
DE SISTEMAS (3)
Proceso de recoleccin y evaluacin de evidencia
para:
* Determinar daos, Salvaguardar activos.
* Evitar destruccin de datos, uso no autorizado,
robos.
* Mantener Integridad de Informacin, Presentar
datos completos, oportunos, confiables.
* Alcanzar metas organizacionales,Contribucin
de la funcin informtica.
CONCEPTO DE AUDITORIA
DE SISTEMAS (4)
Es el examen o revisin de carcter objetivo
(independiente), crtico(evidencia), sistemtico (normas),
selectivo (muestras) de las polticas, normas, prcticas,
funciones, procesos, procedimientos e informes
relacionados con los sistemas de informacin
computarizados, con el fin de emitir una opinin
profesional (imparcial) con respecto a:
a) Eficiencia en el uso de los recursos informticos
b) Validez de la informacin
c) Efectividad de los controles establecidos
TIPOS DE AUDITORIA
Financiera. Veracidad de los estados
financieros, prcticas y principios contables.
Tributaria. Observa el cumplimiento del
cdigo tributario.
Gestin. Analiza logros del proceso
administrativo, funciones, mtodos, etc.
Sistemas. Relativo a la funcin informtica.
Ambiental, Gubernamental, etc.
Desarrollo de sistemas.
Operacin.
Bases de datos.
Ofimtica.
Comunicaciones y Redes.
Seguridad fsica y lgica.
AUDITORIA DE LA OPERACION
INFORMATICA
La Operacin Informtica se ocupa de
producir resultados informticos de todo tipo:
reportes, bases de datos, procesamiento de
documento, etc.
AUDITORIA DE DESARROLLO
DE PROYECTOS
Ciclo de vida de los sistemas
Se utiliza metodologa de desarrollo de
Proyectos informticos.
Exigente control interno de todas las fases
antes nombradas.
Seguridad de los programas, Hacen la
funcin prevista
AUDITORIA INFORMATICA DE
SISTEMAS
Analiza la "Tcnica de Sistemas" en todas sus
facetas.
Sistemas Operativos.
Sistemas multimediales.
Software de Teleproceso.
Administracin de Base de Datos.
Investigacin y Desarrollo.
Algunas reas por su naturaleza se independizan.
AUDITORIA INFORMATICA DE
COMUNICACIONES Y REDES
Redes LAN, MAN, WAN
Las Comunicaciones son el Soporte FsicoLgico de la Informtica en Tiempo Real.
Topologa de la Red de Comunicaciones,
Nmero de lneas, cmo son y dnde estn
instaladas.
Tipo de terminales, carga de la red, etc.
AUDITORIA DE LA SEGURIDAD
INFORMATICA
Seguridad fsica y seguridad lgica.
La Seguridad fsica se refiere a la proteccin del
Hardware y de los soportes de datos, as como los
edificios e instalaciones que los albergan.
La seguridad lgica se refiere a la seguridad de
uso del software, a la proteccin de los datos,
procesos y programas, as como la del ordenado y
autorizado acceso de los usuarios a la informacin.
Elaboracin de "Matrices de Riesgo.
OBJETIVOS DE LA AI (1)
1) Optimizar el costo-beneficio de los sistemas.
2) Satisfaccin de los usuarios de los sistemas.
3) Asegurar integridad, confidencialidad y
confiabilidad de la informacin mediante la
recomendacin de seguridades y controles.
4) Conocer la situacin actual del rea informtica y
las actividades y esfuerzos necesarios para lograr
los objetivos propuestos.
OBJETIVOS DE LA AI (2)
5) Seguridad de personal, datos, hardware,
software e instalaciones
6) Apoyo de funcin informtica a las metas y
objetivos de la organizacin
7) Seguridad, utilidad, confianza, privacidad y
disponibilidad en el ambiente informtico
8) Minimizar los riesgos en el uso de Tecnologa
de informacin
9) Decisiones de inversin y gastos innecesarios
10) Capacitacin y educacin sobre controles en los
Sistemas de Informacin
CONTROLES
Conjunto de disposiciones metdicas,
diseadas con el fin de vigilar las funciones
y actitudes de las empresas para verificar si
todo se realiza conforme a los programas
adoptados, ordenes impartidas y principios
admitidos.
Controles administrativos en
Informtica
Controles de Preinstalacin
Controles de Organizacin y Planificacin
Controles de Sistemas en Desarrollo y
Produccin
Controles de Procesamiento
Controles de Operacin
Controles de uso de Microcomputadores
Controles de preinstalacin(1)
Hacen referencia a procesos y actividades previas a la
adquisicin e instalacin de un equipo de computacin y
obviamente a la automatizacin de los sistemas existentes.
Objetivos:
* Garantizar que el hardware y software se adquieran siempre y
cuando tengan la seguridad de que los sistemas computarizados
proporcionaran mayores beneficios que cualquier otra alternativa.
* Garantizar la seleccin adecuada de equipos y sistemas de
computacin
* Asegurar la elaboracin de un plan de actividades previo a la
instalacin
Acciones a seguir
Elaboracin de un informe tcnico que se justifique la adquisicin del
equipo, software y servicios de computacin, incluyendo un estudio
costo-beneficio.
Formacin de un comit que coordine y se responsabilice de todo el
proceso de adquisicin e instalacin
Elaborar un plan de instalacin de equipo y software (fechas,
actividades, responsables) el mismo que debe contar con la aprobacin
de los proveedores del equipo.
Elaborar un instructivo con procedimientos a seguir para la seleccin y
adquisicin de equipos, programas y servicios computacionales. Este
proceso debe enmarcarse en normas y disposiciones legales.
Efectuar las acciones necesarias para una mayor participacin de
proveedores.
Asegurar respaldo de mantenimiento y asistencia tcnica.
Controles de organizacin y
Planificacin(1)
Se refiere a la definicin clara de funciones, lnea
de autoridad y responsabilidad de las diferentes
unidades del rea informtica, en labores tales
como: Diseo del sistema, Programacin,
Operacin del sistema, Control de calidad.
Se debe evitar que una misma persona tenga el
control de toda una operacin. Es importante la
utilizacin ptima de recursos mediante la
preparacin de planes a ser evaluados
continuamente
Acciones a seguir
La unidad informtica debe estar al mas alto nivel de la pirmide
administrativa.
Deben existir mecanismos necesarios a fin de asegurar que los
programadores y analistas no tengan acceso a la operacin del
computador y los operadores a su vez no conozcan la documentacin
de programas y sistemas.
Debe existir una unidad de control de calidad.
El manejo y custodia de dispositivos y archivos magnticos deben estar
expresamente definidos por escrito.
Debe formularse el "Plan Maestro de Informtica (PESI)
Debe existir una participacin efectiva de directivos, usuarios en la
planificacin y evaluacin del cumplimiento del plan.
Las instrucciones deben impartirse por escrito.
Controles de Sistema en
Desarrollo y Produccin(1)
Se debe justificar que los sistemas han sido
la mejor opcin para la empresa, bajo una
relacin costo-beneficio que proporcionen
oportuna y efectiva informacin, que los
sistemas se han desarrollado bajo un
proceso planificado y se encuentren
debidamente documentados.
Acciones a seguir
Equipo de trabajo: usuarios, personal de auditora
interna/control, especialistas.
El desarrollo, diseo y mantenimiento de sistemas
obedece a un plan estratgico.
Documentacin de fases con actas de
conclusin/recepcin.
Prueba de programas.
Documentacin de sistemas: informes, diagramas,
objetivos de los programas, fuentes, formatos de
entrada/salida.
Procesos de contingencia.
Controles de Procesamiento(1)
Los controles de procesamiento se refieren al ciclo
que sigue la informacin desde la entrada hasta la
salida de la informacin, lo que conlleva al
establecimiento de una serie de seguridades para:
Asegurar que todos los datos sean procesados
Garantizar la exactitud de los datos procesados
Garantizar que se grabe un archivo para uso de la
gerencia y con fines de auditoria
Asegurar que los resultados sean entregados a los
usuarios en forma oportuna y en las mejores
condiciones.
Acciones a seguir
Preparacin y validacin de datos de entrada previo
procesamiento debe ser realizada en forma automtica:
clave, dgito autoverificador, totales de lotes, etc.
Procesos de correccin de errores.
Estandarizacin de formularios, fuente para agilitar la
captura de datos y minimizar errores.
Los procesos interactivos deben garantizar una adecuada
interrelacin entre usuario y sistema.
Planificar el mantenimiento del hardware y software,
tomando todas las seguridades para garantizar la integridad
de la informacin y el buen servicio a usuarios.
Controles de Operacin
Abarcan el ambiente de la operacin del equipo y
dispositivos de almacenamiento, la operacin de terminales
y equipos de comunicacin.
Los controles tienen como fin:
Prevenir o detectar errores accidentales que puedan
ocurrir en el Centro de Cmputo durante un proceso
Evitar o detectar el manejo de datos con fines
fraudulentos por parte de funcionarios del PAD
Garantizar la integridad de los recursos informticos.
Asegurar la utilizacin adecuada de equipos acorde a
planes y objetivos, Recursos Informticos
Acciones a seguir(1)
El acceso al centro de computo solo personal autorizado.
Ingreso a equipos con claves
Polticas de seguridad, privacidad y proteccin de los recursos
informticos frente a: incendio, vandalismo, robo y uso
indebido, intentos de violacin y como responder ante esos
eventos.
Llevar una bitcora de todos los procesos realizados, dejando
constancia de suspensiones o cancelaciones.
Procesos de recuperacin o restauracin de informacin.
Todas las actividades del Centro de Computo deben normarse
mediante manuales, instructivos, normas, reglamentos, etc.
Acciones a seguir(2)
El proveedor de hardware y software deber proporcionar lo siguiente:
Acciones a seguir
Adquisicin de equipos de proteccin: supresores de pico, reguladores
de voltaje y UPS
Vencida la garanta de mantenimiento del proveedor se debe contratar
mantenimiento preventivo y correctivo.
Establecer procedimientos para obtencin de backups de paquetes y de
archivos de datos.
Revisin peridica y sorpresiva del contenido del disco para verificar
la instalacin de aplicaciones no relacionadas a la gestin de la
empresa.
Mantener programas y procedimientos de deteccin e inmunizacin de
virus en copias no autorizadas o datos procesados en otros equipos.
Propender a la estandarizacin del Sistema Operativo, software
utilizado como procesadores de palabras, hojas electrnicas,
manejadores de base de datos y mantener actualizadas las versiones y
la capacitacin sobre modificaciones incluidas.