Auditoria De Base De Datos
Páginas: 32 (7803 palabras)
Publicado: 11 de diciembre de 2012
Auditoría Bases de Datos
Rossana Cerda Peña [rossanacerda@gmail.com]
Magister en Ingeniería en Informática
Pontificia Universidad Católica de Valparaíso
Resumen
Toda la información financiera de la organización reside en las bases de datos y deben existir controles relacionados con el acceso a las mismas.
Este documento abarca los procesos de una auditoría de bases de datos los cualespermiten mitigar los riesgos de integridad de la información almacenada en las bases de datos y las fases que se deben considerar en cada etapa.
* Introducción
* La gran difusión de los Sistemas de Gestión de Bases de Datos (SGBD), junto con la consagración de los datos como uno de los recursos fundamentales de las empresas, ha hecho que los temas relativos a su control interno yauditoría cobren, cada día, mayor interés. Como ya se ha comentado, normalmente la auditoría informática se aplica de dos formas distintas; por un lado, se auditan las principales áreas del departamento de informática: explotación, dirección, metodología de desarrollo, sistema operativo, telecomunicaciones, bases de datos, etc.; y, por otro, se auditan las aplicaciones (desarrolladas internamente,subcontratadas o adquiridas) que funcionan en la empresa. La importancia de la auditoría del entorno de bases de datos radica en que es el punto de partida para poder realizar la auditoría de las aplicaciones que utiliza esta tecnología.
Cómo se debe elaborar un informe de auditoría de bases de datos
Se requieren varios pasos para realizar una auditoría de bases de datos. El auditor de bases dedatos debe evaluar los riesgos globales y luego desarrollar un programa de auditoría que consta de objetivos de control y procedimientos de auditoría que deben satisfacer esos objetivos.
Los objetivos generales y mínimos que se deben considerar son:
1. Mitigar los riesgos asociados con el manejo inadecuado de los datos.
2. Apoyar el cumplimiento regulatorio.
3. Satisfacer los requerimientosde los auditores.
4. Evitar acciones criminales.
5. Evitar multas por incumplimiento.
6.
7.
8.
9. los temas comerciales esenciales. Estudio de los informes sobre normas o reglamentos. Revisión de planes estratégicos a largo plazo. Revisión de informes de auditorias anteriores.2. Riesgo y materialidad de auditoría.Se puede definir los riesgos de auditoría como aquellosriesgos de que la información pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Los riesgos en auditoria pueden clasificarse de la siguiente manera: Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error materialno puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay. La palabra "material" utilizada con cada uno de estos componentes o riesgos, se refiere aun error que debe considerarse significativo cuando se lleva a cabo una auditoria. En una auditoria de sistemas de información, la definición de riesgos materiales depende del tamaño o importancia del ente auditado así como de otros factores. El auditor de sistemas debe tener una cabal comprensión de estos riesgos de auditoría al planificar. Una auditoria tal vez no detecte cada uno de lospotenciales errores en un universo.
Pero, si el tamaño de la muestra es lo suficientemente grande, o se utiliza procedimientos estadísticos adecuados se llega a minimizar la probabilidad del riesgo de detección. De manera similar al evaluar los controles internos, el auditor de sistemas debe percibir que en un sistema dado se puede detectar un error mínimo, pero ese error combinado con otros, puede...
Rossana Cerda Peña [rossanacerda@gmail.com]
Magister en Ingeniería en Informática
Pontificia Universidad Católica de Valparaíso
Resumen
Toda la información financiera de la organización reside en las bases de datos y deben existir controles relacionados con el acceso a las mismas.
Este documento abarca los procesos de una auditoría de bases de datos los cualespermiten mitigar los riesgos de integridad de la información almacenada en las bases de datos y las fases que se deben considerar en cada etapa.
* Introducción
* La gran difusión de los Sistemas de Gestión de Bases de Datos (SGBD), junto con la consagración de los datos como uno de los recursos fundamentales de las empresas, ha hecho que los temas relativos a su control interno yauditoría cobren, cada día, mayor interés. Como ya se ha comentado, normalmente la auditoría informática se aplica de dos formas distintas; por un lado, se auditan las principales áreas del departamento de informática: explotación, dirección, metodología de desarrollo, sistema operativo, telecomunicaciones, bases de datos, etc.; y, por otro, se auditan las aplicaciones (desarrolladas internamente,subcontratadas o adquiridas) que funcionan en la empresa. La importancia de la auditoría del entorno de bases de datos radica en que es el punto de partida para poder realizar la auditoría de las aplicaciones que utiliza esta tecnología.
Cómo se debe elaborar un informe de auditoría de bases de datos
Se requieren varios pasos para realizar una auditoría de bases de datos. El auditor de bases dedatos debe evaluar los riesgos globales y luego desarrollar un programa de auditoría que consta de objetivos de control y procedimientos de auditoría que deben satisfacer esos objetivos.
Los objetivos generales y mínimos que se deben considerar son:
1. Mitigar los riesgos asociados con el manejo inadecuado de los datos.
2. Apoyar el cumplimiento regulatorio.
3. Satisfacer los requerimientosde los auditores.
4. Evitar acciones criminales.
5. Evitar multas por incumplimiento.
6.
7.
8.
9. los temas comerciales esenciales. Estudio de los informes sobre normas o reglamentos. Revisión de planes estratégicos a largo plazo. Revisión de informes de auditorias anteriores.2. Riesgo y materialidad de auditoría.Se puede definir los riesgos de auditoría como aquellosriesgos de que la información pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Los riesgos en auditoria pueden clasificarse de la siguiente manera: Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error materialno puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay. La palabra "material" utilizada con cada uno de estos componentes o riesgos, se refiere aun error que debe considerarse significativo cuando se lleva a cabo una auditoria. En una auditoria de sistemas de información, la definición de riesgos materiales depende del tamaño o importancia del ente auditado así como de otros factores. El auditor de sistemas debe tener una cabal comprensión de estos riesgos de auditoría al planificar. Una auditoria tal vez no detecte cada uno de lospotenciales errores en un universo.
Pero, si el tamaño de la muestra es lo suficientemente grande, o se utiliza procedimientos estadísticos adecuados se llega a minimizar la probabilidad del riesgo de detección. De manera similar al evaluar los controles internos, el auditor de sistemas debe percibir que en un sistema dado se puede detectar un error mínimo, pero ese error combinado con otros, puede...
Leer documento completo
Regístrate para leer el documento completo.