Auditoria
Páginas: 9 (2129 palabras)
Publicado: 17 de abril de 2012
INTRODUCCION:
La gran difusión de los Sistemas de Gestión de Bases de Datos (SGBD), junto con la consagración de los datos como uno de los recursos fundamentales de las empresas, ha hecho que los temas relativos a su control interno y auditoría cobren, cada día, mayor interés. Como ya se ha comentado, normalmente la auditoría informática se aplica dedos formas distintas; por un lado, se auditanlas principales áreas del departamento de informática: explotación, dirección, metodología de desarrollo, sistema operativo, telecomunicaciones, bases de datos, etc.; y, por otro, se auditan las aplicaciones(desarrolladas internamente, subcontratadas o adquiridas) que funcionan en la empresa. La importancia de la auditoría del entorno de bases de datos radica en que es el punto de partida parapoder realizar la auditoría de las aplicaciones que utiliza esta tecnología.
METODOLOGIA PARA LA AUDITORIA DE BASES DE DATOS:
Aunque existen distintas metodologías que se aplican en auditoría informática (prácticamente cada firma de auditores y cada empresa desarrolla la suya propia).
METODOLOGIA TRADICIONAL:
En este tipo de metodología el auditor revisa el entorno con la ayuda de unalista de control, que consta de una serie de cuestiones a verificar.
Este tipo de técnica suele ser aplicada a la auditoría de bases de datos, especificándose en la lista de control todos los aspectos a tener en cuenta.
METODOLOGIA DE EVALUACION DE RIESGO:
Este tipo de metodología, conocida también es laque propone la ISACA y empieza fijándolos objetivos de control que minimizan los riesgospotenciales a los que está sometido el entorno. En Touriño y Fernández (1991) se señalan los riesgos más importantes que lleva consigo la utilización de una base de datos.
Considerando estos riesgos, se podrían definir por ejemplo el siguiente:
OBJETIVO DE CONTROL:
El SGBD deberá preservar la confiabilidad de la base de datos.
Una vez establecidos los objetivos de control, se especifican lastécnicas específicas correspondientes a dichos objetivos.
TECNICAS DE CONTROL:
Se deberán establecer los tipos de usuarios, perfiles y privilegios necesarios para controlar el acceso a la base de datos.
Un objetivo de control puede llevar asociadas varias técnicas que permiten cubrirlo en su totalidad.
En caso de que los controles existan, se diseñan unas pruebas (denominas pruebas decumplimiento) que permiten verificar la consistencia de los mismos, por ejemplo:
PRUEBAS DE CUMPLIMIENTO:
Listar los privilegios y perfiles existentes en el SGBD.
Si estas pruebas detectan inconsistencias en los controles, o bien, si los controles no existen, se pasa a detectar otro tipo de pruebas –denominadas
Pruebas sustantivas – que permitan dimensionar el impacto de estas deficiencias.PRUEBAS SUSTANTIVAS:
Comprobar si la información ha sido corrompida comparándola con otra fuente, o revisando, los documentos de entrada de datos y las transacciones que se han ejecutado. Una vez valorados los resultados de las pruebas se obtienen unas conclusiones que serán comentadas y discutidas con los responsables directos de las áreas afectadas con el fin de corroborar los resultados.Por último, el auditor deberá emitir una serie de comentarios donde se describa la situación, el riesgo existente y la deficiencia a solucionar que ha tenido la auditoria.
Como resultado de la auditoria, se presentará un informe final en el que se expongan las conclusiones más importantes a las que se ha llegado, así como el alcance que ha tenido la auditoría.
Esta será la técnica a utilizarpara auditar el entorno general de un sistema de bases de datos, tanto en su desarrollo como durante la explotación.
OBJETIVOS DE CONTROL EN EL CICLO DE VIDA DE UNA BASE DE DATOS:
A continuación expondremos algunos objetivos y técnicas de control a tener en cuenta a lo largo del ciclo de vida de una base de datos que abarca desde el estudio previo hasta su explotación; para ello nos...
La gran difusión de los Sistemas de Gestión de Bases de Datos (SGBD), junto con la consagración de los datos como uno de los recursos fundamentales de las empresas, ha hecho que los temas relativos a su control interno y auditoría cobren, cada día, mayor interés. Como ya se ha comentado, normalmente la auditoría informática se aplica dedos formas distintas; por un lado, se auditanlas principales áreas del departamento de informática: explotación, dirección, metodología de desarrollo, sistema operativo, telecomunicaciones, bases de datos, etc.; y, por otro, se auditan las aplicaciones(desarrolladas internamente, subcontratadas o adquiridas) que funcionan en la empresa. La importancia de la auditoría del entorno de bases de datos radica en que es el punto de partida parapoder realizar la auditoría de las aplicaciones que utiliza esta tecnología.
METODOLOGIA PARA LA AUDITORIA DE BASES DE DATOS:
Aunque existen distintas metodologías que se aplican en auditoría informática (prácticamente cada firma de auditores y cada empresa desarrolla la suya propia).
METODOLOGIA TRADICIONAL:
En este tipo de metodología el auditor revisa el entorno con la ayuda de unalista de control, que consta de una serie de cuestiones a verificar.
Este tipo de técnica suele ser aplicada a la auditoría de bases de datos, especificándose en la lista de control todos los aspectos a tener en cuenta.
METODOLOGIA DE EVALUACION DE RIESGO:
Este tipo de metodología, conocida también es laque propone la ISACA y empieza fijándolos objetivos de control que minimizan los riesgospotenciales a los que está sometido el entorno. En Touriño y Fernández (1991) se señalan los riesgos más importantes que lleva consigo la utilización de una base de datos.
Considerando estos riesgos, se podrían definir por ejemplo el siguiente:
OBJETIVO DE CONTROL:
El SGBD deberá preservar la confiabilidad de la base de datos.
Una vez establecidos los objetivos de control, se especifican lastécnicas específicas correspondientes a dichos objetivos.
TECNICAS DE CONTROL:
Se deberán establecer los tipos de usuarios, perfiles y privilegios necesarios para controlar el acceso a la base de datos.
Un objetivo de control puede llevar asociadas varias técnicas que permiten cubrirlo en su totalidad.
En caso de que los controles existan, se diseñan unas pruebas (denominas pruebas decumplimiento) que permiten verificar la consistencia de los mismos, por ejemplo:
PRUEBAS DE CUMPLIMIENTO:
Listar los privilegios y perfiles existentes en el SGBD.
Si estas pruebas detectan inconsistencias en los controles, o bien, si los controles no existen, se pasa a detectar otro tipo de pruebas –denominadas
Pruebas sustantivas – que permitan dimensionar el impacto de estas deficiencias.PRUEBAS SUSTANTIVAS:
Comprobar si la información ha sido corrompida comparándola con otra fuente, o revisando, los documentos de entrada de datos y las transacciones que se han ejecutado. Una vez valorados los resultados de las pruebas se obtienen unas conclusiones que serán comentadas y discutidas con los responsables directos de las áreas afectadas con el fin de corroborar los resultados.Por último, el auditor deberá emitir una serie de comentarios donde se describa la situación, el riesgo existente y la deficiencia a solucionar que ha tenido la auditoria.
Como resultado de la auditoria, se presentará un informe final en el que se expongan las conclusiones más importantes a las que se ha llegado, así como el alcance que ha tenido la auditoría.
Esta será la técnica a utilizarpara auditar el entorno general de un sistema de bases de datos, tanto en su desarrollo como durante la explotación.
OBJETIVOS DE CONTROL EN EL CICLO DE VIDA DE UNA BASE DE DATOS:
A continuación expondremos algunos objetivos y técnicas de control a tener en cuenta a lo largo del ciclo de vida de una base de datos que abarca desde el estudio previo hasta su explotación; para ello nos...
Leer documento completo
Regístrate para leer el documento completo.