Академический Документы
Профессиональный Документы
Культура Документы
FASE ACTIVIDADES
Conocimiento 1. -Identificar el origen de la auditoria.
del sistema o2. -Realizar visitas para conocer procesos, activos informticos, procesos y
rea auditada organizacin del rea auditada.
3. -Determinar las vulnerabilidades, y amenazas informticas a que est
expuesta la organizacin.
4. -Determinar el objetivo de la auditora de acuerdo a las vulnerabilidades, y
amenazas informticas encontradas.
Planeacin 1. -Elaborar el plan de auditora
La auditora utiliza el mtodo deductivo- inductivo, pues realiza el examen y evaluacin de los hechos
empresariales objetos de estudio partiendo de un conocimiento general de los mismos, para luego
dividirlos en unidades menores que permitan una mejor aproximacin a la realidad que los origin para
luego mediante un proceso de sntesis emitir una opinin profesional. Todo este proceso requiere de que
el auditor utilice una serie de pasos realizados en forma sistemtica, ordenada y lgica que permita luego
realizar una crtica objetiva del hecho o rea examinada.
1.3.1 MTODO DEDUCTIVO
El mtodo deductivo consiste en derivar aspectos particulares de lo general, leyes axiomas, teoras,
normas etc. en otras palabras es ir de lo universal a lo especfico o particular.
El mtodo inductivo al contrario del deductivo se parte de fenmenos particulares con incidencia tal que
constituyen un axioma, ley, norma, teora, es decir parte de lo particular y va hacia lo universal.
Desde el punto de vista de la auditora, se descompone el sistema a estudiar en las mnimas unidades de
estudio, efectundose el examen de estas partes mnimas (particulares) para luego mediante un proceso
de sntesis se recompone el todo descompuesto y se emite una opinin sobre el sistema tomado en
conjunto.
Estos dos mtodos se combinan en forma armnica no excluyente. De esta manera, en forma
esquemtica se pueden plantear as las fases generales a seguir en una auditora:
Evaluacin de riesgos
La Ingeniera de Software comprende un conjunto de etapas ordenadas con el propsito de obtener
un producto de software de calidad, si la nueva interfase no se probo y est alterando los saldos de
las cuentas de los clientes, debemos verificar si la anterior interfase aun nos arroja los saldos
correctos o de lo contrario se tendr que cotejar con los estados de cuenta. Este paso es muy
importante porque nos indica los errores que tenemos que evitar.
Clasificacin de la auditoria
Esta auditoria es de Sistemas de Informacin
El software ser apto para correr en distintas plataformas de hardware y software de base,
configurando una aplicacin Intranet y una solucin para Internet,
Declaracin de alcance
Tener acceso a bases de datos relacionados: podrn ser locales o remotas, para lograr obtener los
saldos adecuados de las cuentas.
Declaracin de objetivos
Escalabilidad: soportar aumento en la carga sin necesidad de modificar el cdigo,
Ofrecer seguridad: No todos los usuarios podrn acceder a la misma funcionalidad y todos ellos
debern ser autenticos.
Hacer las suficientes pruebas hasta lograr elpleno funcionamiento de la interfase y hacer el ajuste de
los saldos.
Probar e instalar distintos tipos de interfaz de usuario: en general sern del tipo web, pero algunas
podrn ser stand alone en un entorno de ventanas (por ejemplo: carga de datos en forma masiva).
El reporte tendr que cumplir con todos los requisitos mencionados en sesiones anteriores y sobre
todo hacer mencin del error encontrado y las posibles soluciones ya que es muy urgente darle
mantenimiento a la interfase, seguir haciendo pruebas hasta lograr su adecuado funcionamiento.
FUNCIONES GENERALES.
Para ordenar e imprimir cohesin a su labor, el equipo cuenta con un una serie de funciones
tendientes a estudiar, analizar y diagnosticar la estructura y funcionamiento general de una
organizacin.
Las funciones tipo del equipo auditor son:
Definir el universo de aplicaciones, bases de datos y tecnologa de soporte que utilizan los
controles de aplicacin,
Definir los factores de riesgo asociados con cada aplicacin. Por ejemplo:
Es control clave?
El diseo es efectivo?
Es un software pre configurado o bien desarrollo propio?
La aplicacin soporta ms de un proceso crtica?
Cul es la frecuencia de los cambios de la aplicacin?
Cul es la complejidad de los cambios?
Cul es el impacto financiero?
Cul es la efectividad de los ITGC?
Todos estos elementos ponderados terminarn dando para cada aplicacin un total que
determinar el ranking del nivel de riesgo para cada aplicacin, considerando tanto factores
cuantitivos como cualitativos, como por ejemplo:
Una vez rankeada todas las aplicaciones, y evaluado los resultados, debemos generar un plan
de accin basado en la evaluacin de riesgos enunciada anteriormente, que tienda a mitigar
los riesgos asociados con las aplicaciones que tuvieron un mayor score en el ranking.