Вы находитесь на странице: 1из 11

CONCEPTOS GENERALES DE AUDITORIA DE SISTEMAS

MARA EUGENIA AGUIRRE CODIGO 39634082

LIZ JULIETH OCHOA IBARGUEN CODIGO: 24651651

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD ESCUELA DE INGENIERIA-INGENIERIA EN SISTEMAS

04 DE OCTUBRE DE 2011

CONCEPTOS GENERALES DE AUDITORIA DE SISTEMAS

MARA EUGENIA AGUIRRE CODIGO 39634082

LIZ JULIETH OCHOA IBARGUEN CODIGO: 24651651

AUDITORIA DE SISTEMAS

TUTOR
CARMEN ADRIANA AGUIRRE CABRERA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD ESCUELA DE INGENIERIA-INGENIERIA EN SISTEMAS

04 DE OCTUBRE DE 2011

INTRODUCCIN

El siguiente trabajo hace parte del curso de Auditoria de Sistemas del campus virtual de la UNAD, el propsito principal del trabajo es el reconocimiento y la conceptualizacin de las generalidades de la auditoria de sistemas, as como de las tcnicas de la misma, el contenido se enfoca a la manipulacin de tcnicas especficas de auditora y la elaboracin de un mapa conceptual que nos deja ver con claridad las diferentes herramientas que se enmarcan en la tcnicas de auditora en general. En el curso de auditoria de sistemas estaremos aplicando en nuestra profesin, para aplicar nuestros conocimientos y procesos de control administrativo en una empresa en cuanto procesos reas y recursos, asimismo conocer conceptos aplicados en los adelantos de un ente en la vida real, gracias al estudio de pequeo grupo colaborativo para el trabajo y proceso de reconocimiento que hace de vital importancia y con ayuda del tutor vamos a avanzar en enriquecimiento de saberes para la materia y en si profesionalmente.

OBJETIVOS

Conocer los procedimientos de una auditoria de sistemas y las respectivas tcnicas para elaboracin de procesos. Identificar que auditoria se debe aplicar segn la empresa Practicar la importancia de auditar mediante la recomendacin de seguridades y controles. Poner en juego nuestras habilidades y destrezas en el desarrollo de esta prctica, que involucra los conocimientos adquiridos en la unidad uno

DESARROLLO DE ACTIVIDAD

MAPA CONCEPTUAL

Es un examen evaluar la efica or

2. El grupo debe identificar una empresa, e indagar si el sistema de informacin cumple con los objetivos organizacionales y de salvaguardia de la informacin, para lo cual, debe elaborar un

Auditora Interna y Auditora

instrumento de recoleccin de informacin que contenga preguntas preliminares o introductorias, informativas, de anlisis o de evaluacin, y de admisin o confirmacin. EMPRESA PROTABACO Tipos de auditora: Se hace auditora interna como externa reas de la empresa: Recursos humanos, Bienestar, Cartera, Tesorera, Tecnologa, Gerencia financiera, Gerencia Operativa, Produccin, Calidad, Almacn, Comercial, Distribucin, Taller, Mantenimiento, Electrnica, Seguridad. Inicialmente se realiza la auditora interna a todas las reas de la empresa, con el fin de identificar las fallas e inconsistencias y poder tomar las acciones correctivas del caso y as estar preparados para la auditora externa. La auditora externa siempre se realiza con miras a obtener la aprobacin de calidad, esta auditora es realizada al proceso en s y al responsable que realiza dicho proceso. ETAPAS DE TRABAJO RECOPILACION DE INFORMACION BSICA Una semana antes del comienzo de la auditoria se envia un cuestionario a los gerentes o responsables de las distintas areas de la empresa. El objetivo de este cuestionario es saber los equipos que usan y los procesos que realizan en ellos. Los gerentes se encargaran de distribuir este cuestionario a los distintos empleados con acceso a los computadores, para que tambien lo completen. De esta manera, se obtendra una vision mas global del sistema. Es importante tambien reconocer y entrevistarse con los responsables del area de sistemas de la empresa para conocer con mayor profundidad el hardware y el software utilizado. EN LAS ENTREVISTAS INCLUIRAN: Director / Gerente de Informatica Subgerentes de informatica Asistentes de informatica Tecnicos de soporte externo IDENTIFICACIN DE RIESGOS POTENCIALES Se evaluara la forma de adquisicion de nuevos equipos o aplicativos de software. Los procedimientos para adquirirlos deben estar regulados y aprobados en base a los estandares de la empresa y los requerimientos minimos para ejecutar los programas base. Dentro de los riesgos posibles, tambien se contemplaran huecos de seguridad del propio software y la correcta configuracion y/o actualizacion de los equipos criticos como el cortafuegos. Los riesgos potenciales se pueden presentar de la mas diversa variedad de formas. OBJETIVOS DE CONTROL Se evaluaran la existencia y la aplicacin correcta de las politicas de seguridad, emergencia y disaster recovery de la empresa. Se hara una revicion de los manuales de politica de la empresa, que los procedimientos de los mismos se encuentren actualizados y que sean claros y que el personal los comprenda. Debe existir en la Empresa un programa de seguridad, para la evaluacin de los riesgos que puedan existir, respecto a la seguridad del mantenimiento de los equipos, programas y datos. ENTREVISTA A USUARIOS Su objeto es conocer la opinin que tienen los usuarios sobre los servicios proporcionados, as como la difusin de las aplicaciones de la computadora y de los sistemas en operacin. Determinacin de los procedimientos de control Se determinaran los procedimientos adecuados para aplicar a cada uno de los objetivos definidos en el paso anterior. Objetivo N 1: Existencia de normativa de hardware.

El hardware debe estar correctamente identificado y documentado. Se debe contar con todas las rdenes de compra y facturas con el fin de contar con el respaldo de las garantas ofrecidas por los fabricantes. El acceso a los componentes del hardware est restringido a la directo a las personas que lo utilizan. Se debe contar con un plan de mantenimiento y registro de fechas, problemas, soluciones y prximo mantenimiento propuesto. Cada usuario deber contar con su nombre de usuario y contrasea para acceder a los equipos. Las claves debern ser seguras (mnimo 8 caracteres, alfanumricos y alternando maysculas y minsculas). Los usuarios se desbloquearn despus de 5 minutos sin actividad. Los nuevos usuarios debern ser autorizados mediante contratos de confidencialidad y deben mantenerse luego de finalizada la relacin laboral. Uso restringido de medios removibles (USB, CD-ROM, discos externos etc). PRUEBAS A REALIZAR Son los procedimientos que se llevaran a cabo a fin de verificar el cumplimiento de los objetivos establecidos. Entre ellas podemos mencionar las siguientes tcnicas: Tomar 10 maquinas al azar y evaluar la dificultad de acceso a las mismas. Intentar sacar datos con un dispositivo externo. Facilidad para desarmar una pc. Facilidad de accesos a informacin de confidencialidad (usuarios y claves). Verificacin de contratos. Comprobar que luego de 5 minutos de inactividad los usuarios se desbloqueen. OBTENCION DE LOS RESULTADOS En esta etapa se obtendrn los resultados que surjan de la aplicacin de los procedimientos de control y las pruebas realizadas a fin de poder determinar si se cumple o no con los objetivos de control antes definidos. Los datos obtenidos se registrarn en planillas realizadas a medida para cada procedimiento a fin de tener catalogado perfectamente los resultados con el objetivo de facilitar la interpretacion de los mismos y evitar interpretaciones erroneas. 3. NORMAS COBIT: (Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas) Es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnologa informtica y prcticas de control, COBIT consolida y armoniza estndares de fuentes globales prominentes en un recurso crtico para la gerencia, los profesionales de control y los auditores. COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Est basado en la filosofa de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos. Misin: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnologa de informacin que sea de uso cotidiano para gerentes y auditores Usuarios: La Gerencia: para apoyar sus decisiones de inversin en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. Los Usuarios Finales: quienes obtienen una garanta sobre la seguridad y el control de los productos que adquieren interna y externamente. Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organizacin y determinar el control mnimo requerido. Los Responsables de TI: para identificar los controles que requieren en sus reas. Tambin puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de informacin del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las empresas.

Caractersticas: Orientado al negocio Alineado con estndares y regulaciones "de facto" Basado en una revisin crtica y analtica de las tareas y actividades en TI Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA) Principios: El enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI. Requerimientos de la informacin del negocio Para alcanzar los requerimientos de negocio, la informacin necesita satisfacer ciertos criterios: Requerimientos de Calidad: Calidad, Costo y Entrega. Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones. Efectividad: La informacin debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable. Eficiencia: Se debe proveer informacin mediante el empleo ptimo de los recursos (la forma ms productiva y econmica). Confiabilidad: proveer la informacin apropiada para que la administracin tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades. Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales est comprometida la empresa. Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad Confidencialidad: Proteccin de la informacin sensible contra divulgacin no autorizada Integridad: Refiere a lo exacto y completo de la informacin as como a su validez de acuerdo con las expectativas de la empresa. Disponibilidad: accesibilidad a la informacin cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a la misma. Recursos de TI En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio: Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada o no, grficas, sonidos, etc. Aplicaciones: entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados. Tecnologa: incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin. Procesos de TI La estructura de COBIT se define a partir de una premisa simple y pragmtica: "Los recursos de las Tecnologas de la Informacin (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la informacin que la empresa necesita para alcanzar sus objetivos". COBIT se divide en tres niveles: Dominios Procesos Actividades

Estructura de CUBO

La estructura de cubo es la capacidad que brinda COBIT de poder trabajar (con sus objetivos de control) desde tres puntos de vista diferentes; los procesos, los recursos de TI, y las caractersticas que debe reunir la informacin para ser considerada adecuada a las necesidades de la organizacin. Esta estructura, al vincular estos tres puntos de vista brinda un enfoque global que apoya a la planificacin estratgica, fundamentalmente a travs de promover las funciones ligadas a la gobernabilidad de TI, la cual es bsica para asegurar el logro de las metas de la organizacin. Esta estructura permite vincular las expectativas de la Direccin con las de la Gerencia de TI, manejando lineamientos entendibles por las Gerencias de negocio y los dueos de los procesos

CONCLUSIONES

Las auditorias informticas se conforman obteniendo informacin y documentacin de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes medios. El trabajo del auditor consiste en lograr obtener toda la informacin necesaria para emitir un juicio global objetivo, siempre amparando las evidencias comprobatorias. El auditor debe estar capacitado para comprender los mecanismos que se desarrollan en un procesamiento electrnico. Tambin debe estar preparado para enfrentar sistemas computarizados en los cuales se encuentra la informacin necesaria para auditar. Toda empresa, pblica o privada, que posean Sistemas de Informacin medianamente complejos, deben de someterse a un control estricto de evaluacin de eficacia y eficiencia. Hoy en da, la mayora de las empresas tienen toda su informacin estructurada en Sistemas Informticos, de aqu, la vital importancia que los sistemas de informacin funcionen correctamente. El xito de una empresa depende de la eficiencia de sus sistemas de informacin. Una empresa puede contar con personal altamente capacitado, pero si tiene un sistema informtico propenso a errores, lento, frgil e inestable; la empresa nunca saldr a adelante. La auditora de Sistemas debe hacerse por profesionales expertos, una auditoria mal hecha puede acarrear consecuencias drsticas para la empresa auditada, principalmente econmicas. En conclusin la auditoria informtica es la indicada para evaluar de manera profunda, una determinada organizacin a travs de su sistema de informacin automatizado, de aqu su importancia y relevancia.

BIBLIOGRAFIA

Aguirre cabrera Adriana, 2009, modulo auditoria de sistemas 90168, escuela de ciencias Bsicas, tecnologa e ingeniera, universidad nacional abierta y a distancia. Protocolo acadmico auditora de sistemas Aula virtual: http://campus02.unadvirtual.org/moodle/course/view.php?id=55 http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml http://www.scribd.com/doc/12594290 www.gestiopolis.com/recursos/.../tecaudito.htm http://www.uaim.edu.mx/web-carreras/carreras/contaduria/auditoria.pdf www.wikipedia.org.auditoria http://www.gerencie.com/auditoria-de-sistemas http://www.rociolopez.8m.com/ http://www.auditoria-informatica/auditoria-informatica2.shtm http://www.isaca.org/about-isaca/history/espanol/documents/isaca-code-of-ethicsspanish.pdf http://es.wikipedia.org/wiki/auditor%c3%ada_inform%c3%a1tica

http://www.google.com.co/search? hl=es&q=tecnicas+y+procedimientos+para+evaluar+evidencias+en+auditoria+i nformatica&btng=buscar&meta= http://www.slideshare.net/pilypardo/auditoria-informatica-ii-presentation