auditoria de sistemas

LA AUDITORIA DE SISTEMAS ES :

La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones.

El examen y evaluación de los procesos del Area de Procesamiento automático de Datos (PAD) y de la utilización de los recursos que en ellos intervienen.

La actividad dirigida a verificar y juzgar información

El proceso de recolección y evaluación de evidencia para determinar en un sistema automatizado:

Los Daños
Salvaguardar activos de una posible Destrucción
El Uso no autorizado
El Robo
Mantener la Integridad de los datos con Información Precisa, Completa, Oportuna y Confiable.
Alcanzar metas organizacionales de la función informática

Es la revisión de carácter objetivo, crítico, sistemático, selectivo de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados, con el fin de emitir una opinión profesional con respecto a:

Eficiencia en el uso de los recursos informáticos
Validez de la información
Efectividad de los controles establecidos

LOS OBJETIVOS DE LA AUDITORIA DE SISTEMAS SON:

El control de la función informática
El análisis de la eficiencia de los Sistemas Informáticos
La verificación del cumplimiento de la Normativa en este ámbito
La revisión de la eficaz gestión de los recursos informáticos
Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD
Incrementar la satisfacción de los usuarios de los sistemas computarizados
Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles
Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos
Seguridad de personal, datos, hardware, software e instalaciones
Apoyo de función informática a las metas y objetivos de la organización
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático
Minimizar existencias de riesgos en el uso de Tecnología de información
Capacitación y educación sobre controles en los Sistemas de Información

Razones para Efectuar una Auditoria de Sistemas

Aumento considerable e injustificado del presupuesto del PAD

Desconocimiento en el nivel directivo de la situación informática de la empresa

Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información.

Descubrimiento de fraudes efectuados con el computador

Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas.

Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados

Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción

CONTROLES APLICADOS EN LA AUDITORIA DE SISTEMAS
Controles Preventivos
Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones. Ejemplo: Sistemas de claves de acceso

Controles detectivos
Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los más importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.
Ejemplo: Procedimientos de validación

Controles Correctivos

Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en si una actividad altamente propensa a errores.

Controles físicos y lógicos

Autenticidad: Permiten verificar la identidad

Exactitud: Aseguran la coherencia de los datos

Totalidad: Evitan la omisión de registros así como garantizan la conclusión de un proceso de envió

Redundancia: Evitan la duplicidad de datos

Privacidad: Aseguran la protección de los datos

Existencia: Aseguran la disponibilidad de los datos

Protección de Activos: Destrucción o corrupción de información o del hardware

Efectividad: Aseguran el logro de los objetivos

Eficiencia: Aseguran el uso óptimo de los recursos

Controles automáticos o lógicos

Periodicidad de cambio de claves de acceso

Definir una combinación de alfanuméricos en claves de acceso, para redefinir claves es necesario considerar los tipos de claves que existen:

Individuales: Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave permite al momento de efectuar las transacciones registrar a los responsables de cualquier cambio.

Grupales: Las claves grupales o globales serán manejadas por varios funcionarios quienes serán responsables mancomunadamente de las actividades relacionadas con el uso de las mismas.

Verificación de datos de entrada, incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisión; tal es el caso de la validación del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango.

Conteo de registros, consiste en crear campos de memoria para ir acumulando cada registro que se ingresa y verificar con los totales ya registrados.

Utilizar software de seguridad en los microcomputadores el cual permite restringir el acceso al microcomputador, de tal modo que solo el personal autorizado pueda utilizarlo. Algunos programas de este tipo son: WACHDOG, LATTICE, SECRET DISK, entre otros.