Guia Auditoria
Páginas: 11 (2601 palabras)
Publicado: 23 de noviembre de 2012
Metodología de una Auditoría de Sistemas
Existen algunas metodologías de Auditorías de Sistemas y todas depende de lo que se pretenda revisar o analizar, pero como estándar analizaremos las cuatro fases básicas de un proceso de revisión:
• Estudio preliminar
• Revisión y evaluación de controles y seguridades
• Examen detallado de áreas criticas
• Comunicación de resultados
CREACION DELMANUAL DE PROCEDIMIENTOS
Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditoría, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos, Entrevistas con los principalesfuncionarios del PAD.
Revisión y evaluación de controles y seguridades.- Consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas críticas, Revisión de procesos históricos (backups), Revisión de documentación y archivos, entre otras actividades.
Examen detallado de áreas criticas.-Con las fasesanteriores el auditor descubre las áreas críticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance Recursos que usara, definirá la metodología de trabajo, la duración de la auditoría, Presentará el plan de trabajo y analizara detalladamente cada problema encontrado contodo lo anteriormente analizado en este folleto.
Comunicación de resultados.- Se elaborara el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditoría.
El informedebe contener lo siguiente:
• Motivos de la Auditoría
• Objetivos
• Alcance
• Estructura Orgánico-Funcional del área Informática
• Configuración del Hardware y Software instalado
• Control Interno
• Resultados de la Auditoría
Controles
Conjunto de disposiciones metódicas, cuyo fin es riesgo, vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realizaconforme a los programas adoptados, órdenes impartidas y principios admitidos.
Clasificación general de los controles
• Controles Preventivos
Son aquellos que reducen la frecuencia con que ocurren las causas del permitiendo cierto margen de violaciones.
Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones
Sistemas de claves de acceso
• Controles detectives
Son aquellos que noevitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los más importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.
Ejemplo: Archivos y procesos que sirvan como pistas de auditoría
Procedimientos de validación
• Controles Correctivos
Ayudan a la investigación y corrección de las causas del riesgo. Lacorrección adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en si una actividad altamente propensa a errores.
Principales Controles físicos y lógicos
Controles particulares tanto en la parte física como en la lógica se detallan a continuación
Autenticidad
Permiten verificar laidentidad
1. Passwords
1. Firmas digitales
Exactitud
Aseguran la coherencia de los datos
1. Validación de campos
1. Validación de excesos
Totalidad
Evitan la omisión de registros así como garantizan la conclusión de un proceso de envió
1. Conteo de registros
1. Cifras de control
Redundancia
Evitan la duplicidad de datos
1. Cancelación de lotes
1. Verificación de secuencias...
Existen algunas metodologías de Auditorías de Sistemas y todas depende de lo que se pretenda revisar o analizar, pero como estándar analizaremos las cuatro fases básicas de un proceso de revisión:
• Estudio preliminar
• Revisión y evaluación de controles y seguridades
• Examen detallado de áreas criticas
• Comunicación de resultados
CREACION DELMANUAL DE PROCEDIMIENTOS
Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditoría, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos, Entrevistas con los principalesfuncionarios del PAD.
Revisión y evaluación de controles y seguridades.- Consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas críticas, Revisión de procesos históricos (backups), Revisión de documentación y archivos, entre otras actividades.
Examen detallado de áreas criticas.-Con las fasesanteriores el auditor descubre las áreas críticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance Recursos que usara, definirá la metodología de trabajo, la duración de la auditoría, Presentará el plan de trabajo y analizara detalladamente cada problema encontrado contodo lo anteriormente analizado en este folleto.
Comunicación de resultados.- Se elaborara el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditoría.
El informedebe contener lo siguiente:
• Motivos de la Auditoría
• Objetivos
• Alcance
• Estructura Orgánico-Funcional del área Informática
• Configuración del Hardware y Software instalado
• Control Interno
• Resultados de la Auditoría
Controles
Conjunto de disposiciones metódicas, cuyo fin es riesgo, vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realizaconforme a los programas adoptados, órdenes impartidas y principios admitidos.
Clasificación general de los controles
• Controles Preventivos
Son aquellos que reducen la frecuencia con que ocurren las causas del permitiendo cierto margen de violaciones.
Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones
Sistemas de claves de acceso
• Controles detectives
Son aquellos que noevitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los más importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.
Ejemplo: Archivos y procesos que sirvan como pistas de auditoría
Procedimientos de validación
• Controles Correctivos
Ayudan a la investigación y corrección de las causas del riesgo. Lacorrección adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en si una actividad altamente propensa a errores.
Principales Controles físicos y lógicos
Controles particulares tanto en la parte física como en la lógica se detallan a continuación
Autenticidad
Permiten verificar laidentidad
1. Passwords
1. Firmas digitales
Exactitud
Aseguran la coherencia de los datos
1. Validación de campos
1. Validación de excesos
Totalidad
Evitan la omisión de registros así como garantizan la conclusión de un proceso de envió
1. Conteo de registros
1. Cifras de control
Redundancia
Evitan la duplicidad de datos
1. Cancelación de lotes
1. Verificación de secuencias...
Leer documento completo
Regístrate para leer el documento completo.