22
Auditoría informática La auditoria informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia. Los objetivos de la auditoría Informática son: El control de la función informática El análisis de la eficiencia de los Sistemas Informáticos La verificación del cumplimiento de la Normativa en este ámbito La revisión de la eficaz gestión de los recursos informáticos. La auditoría informática sirve para mejorar ciertas características en la empresa como: Eficiencia Eficacia Rentabilidad Seguridad Generalmente se puede desarrollar en alguna o combinación de las siguientes areas: Gobierno corporativo Administración del Ciclo de vida de los sistemas Servicios de Entrega y Soporte Protección y Seguridad Planes de continuidad y Recuperación de desastres

auditoria

Embed Size (px)

DESCRIPTION

adi

Citation preview

Auditora informtica

Auditora informtica

La auditoria informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos.

Auditar consiste principalmente en estudiar los mecanismos de control que estn implantados en una empresa u organizacin, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberan realizar para la consecucin de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de deteccin, correctivos o de recuperacin ante una contingencia.

Los objetivos de la auditora Informtica son:

El control de la funcin informtica

El anlisis de la eficiencia de los Sistemas Informticos

La verificacin del cumplimiento de la Normativa en este mbito

La revisin de la eficaz gestin de los recursos informticos.

La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como:

Eficiencia

Eficacia

Rentabilidad

Seguridad

Generalmente se puede desarrollar en alguna o combinacin de las siguientes areas:

Gobierno corporativo

Administracin del Ciclo de vida de los sistemas

Servicios de Entrega y Soporte

Proteccin y Seguridad

Planes de continuidad y Recuperacin de desastres

Actualmente la certificacin de ISACA para ser CISA Certified Information Systems Auditor es una de las mas reconocidas y avaladas por los estandares internacionales ya que el proceso de seleccin consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificacin.

Objetivo fundamental de la auditora informtica

Operatividad

La operatividad es una funcin de mnimos consistente en que la organizacin y las maquinas funcionen, siquiera mnimamente. No es admisible detener la maquinaria informtica para descubrir sus fallos y comenzar de nuevo. La auditora debe iniciar su actividad cuando los Sistemas estn operativos, es el principal objetivo el de mantener tal situacin. Tal objetivo debe conseguirse tanto a nivel global como parcial.

La operatividad de los Sistemas ha de constituir entonces la principal preocupacin del auditor informtico. Para conseguirla hay que acudir a la realizacin de Controles Tcnicos Generales de Operatividad y Controles Tcnicos Especficos de Operatividad, previos a cualquier actividad de aquel.

Los Controles Tcnicos Generales son los que se realizan para verificar la compatibilidad de funcionamiento simultaneo del Sistema Operativo y el Software de base con todos los subsistemas existentes, as como la compatibilidad del Hardware y del Software instalados. Estos controles son importantes en las instalaciones que cuentan con varios competidores, debido a que la profusin de entornos de trabajo muy diferenciados obliga a la contratacin de diversos productos de Software bsico, con el consiguiente riesgo de abonar ms de una vez el mismo productoo desaprovechar parte del Software abonado. Puede ocurrir tambin con los productos de Software bsico desarrollados por el personal de Sistemas Interno, sobre todo cuando los diversos equipos estn ubicados en Centros de Proceso de Datos geogrficamente alejados. Lo negativo de esta situacin es que puede producir la inoperatividad del conjunto. Cada Centro de Proceso de Datos tal vez sea operativo trabajando independientemente, pero no ser posible la interconexin e intercomunicacin de todos los Centros de Proceso de Datos si no existen productos comunes y compatibles.

Los Controles Tcnicos Especficos, de modo menos acusado, son igualmente necesarios para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se puede encontrar mal son parmetros de asignacin automtica de espacio en disco* que dificulten o impidan su utilizacin posterior por una Seccin distinta de la que lo gener. Tambin, los periodos de retencin de ficheros comunes a varias Aplicaciones pueden estar definidos con distintos plazos en cada una de ellas, de modo que la prdida de informacin es un hecho que podr producirse con facilidad, quedando inoperativa la explotacin de alguna de las Aplicaciones mencionadas.

*Parmetros de asignacin automtica de espacio en disco:

Todas las Aplicaciones que se desarrollan son super-parametrizadas , es decir, que tienen un montn de parmetros que permiten configurar cual va a ser el comportamientodel Sistema. Una Aplicacin va a usar para tal y tal cosa cierta cantidad de espacio en disco. Si uno no analiz cual es la operatoria y el tiempo que le va a llevar ocupar el espacio asignado, y se pone un valor muy chico, puede ocurrir que un da la Aplicacin reviente, se caiga. Si esto sucede en medio de la operatoria y la Aplicacin se cae, el volver a levantarla, con la nueva asignacin de espacio, si hay que hacer reconversiones o lo que sea, puede llegar a demandar muchsimo tiempo, lo que significa un riesgo enorme.Tipos de Auditora informtica

Dentro de la auditora informtica destacan los siguientes tipos (entre otros):

Auditora de la gestin: Referido a la contratacin de bienes y servicios, documentacin de los programas, etc.

Auditora de los datos: Clasificacin de los datos, estudio de las aplicaciones y analisis de los flujogramas.

Auditora de las bases de datos: Controles de acceso, de actualizacin, de integridad y calidad de los datos.

Auditora de la seguridad: Referidos a datos e informacin verificando disponibilidad, integridad, confidencialidad, autenticacin y no repudio.

Auditora de la seguridad fsica: Referido a la ubicacin de la organizacin, evitando ubicaciones de riesgo, y en algunos casos no revelando la situacin fsica de esta. Tambin est referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.

Auditora de la seguridad lgica: Comprende los mtodos de autenticacin de los sistemas de informacin.

Auditora de las comunicaciones.

Auditora de la seguridad en produccin: Frente a errores, accidentes y fraudes.

Perfil del Auditor Informtico General

Es un profesional dedicado al anlisis de sistemas de informacin que est especializado en alguna de las ramas de la auditora informtica, que tiene conocimientos generales de los mbitos en los que sta se mueve, adems de contar con conocimientos empresariales generales.

El auditor puede actuar como consultor con su auditado, dndole ideas de cmo enfocar la construccin de los elementos de control y administracin que le sean propios. Adems, puede actuar como consejero con la organizacin en la que est desarrollando su labor. Un entorno informtico bien controlado puede ser ineficiente si no es consistente con los objetivos de la organizacin.

Perfiles profesionales de la funcin de Auditora Informtica

El auditor informtico debe ser una persona con un alto grado de calificacin tcnica y al mismo tiempo estar integrado a las corrientes organizativas empresariales. Se deben contemplar las siguientes caractersticas de un perfil profesional adecuado y actualizado:

1. Se deben poseer una mezcla de conocimientos de auditora financiera y de informtica en general. En el rea informtica, se debe tener conocimientos bsicos de:

Desarrollo de SI (administracin de proyectos, ciclo de vida de desarrollo)

Administracin del Departamento de Informtica

Anlisis de riesgos en un entorno informtico

Sistemas operativos

Telecomunicaciones

Administracin de Bases de Datos

Redes locales

Seguridad fsica

Operacin y planificacin informtica (efectividad de las operaciones y rendimiento del sistema)

Administracin de seguridad de los sistemas (planes de contingencia)

Administracin del cambio

Administracin de Datos

Automatizacin de oficinas (ofimtica)

Comercio electrnico

Encriptacin de datos

2. Especializacin en funcin de la importancia econmica que tienen distintos componentes financieros dentro del entorno empresarial Por ejemplo, en un entorno financiero pueden tener mucha importancia las comunicaciones, por lo que se debe tener una especializacin en esa rama.

3. Debe conocer tcnicas de administracin de empresas y de cambio, ya que las recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la empresa y a los recursos que se poseen.

4. Debe tener un enfoque de Calidad Total, lo cual har que sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad.

Principales pruebas y herramientas para efectuar una auditora informticaEn la realizacin de una auditora informtica el auditor puede realizar las siguientes pruebas:

Pruebas clsicas: Consiste en probar las aplicaciones / sistemas con datos datos de prueba, observando la entrada, la salida esperada, y la salida obtenida. Existen paquetes que permiten la realizacin de estas pruebas.

Pruebas sustantivas: Aportan al auditor informtico las suficientes evidencias y que se pueda formar un juicio. Se suelen obtener mediante observacin, clculos, muestreos, entrevistas, tcnicas de examen analtico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la informacin.

Pruebas de cumplimiento: Determinan si un sistema de control interno funciona adecuadamente (segn la documentacin, segn declaran los auditados y segn las polticas y procedimientos de la organizacin).

Las principales herramientas de las que dispone un auditor informtico son:

Observacin

Realizacin de cuestionarios

Entrevistas a auditados y no auditados

Muestreo estadstico

Flujogramas

Listas de checkeo

Mapas conceptuales

Herramientas y Tcnicas para la Auditora Informtica:

Cuestionarios:

Las auditoras informticas se materializan recabando informacin y documentacin de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la informacin necesaria para la emisin de un juicio global objetivo, siempre amparado en hechos demostrables, llamados tambin evidencias.

Para esto, suele ser lo habitual comenzar solicitando la cumplimentacin de cuestionarios preimpresos que se envan a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas reas a auditar.

Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su forma.

Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal anlisis determine a su vez la informacin que deber elaborar el propio auditor. El cruzamiento de ambos tipos de informacin es una de las bases fundamentales de la auditora.

Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la informacin que aquellos preimpresos hubieran proporcionado.

Entrevistas:

El auditor comienza a continuacin las relaciones personales con el auditado. Lo hace de tres formas:

1. Mediante la peticin de documentacin concreta sobre alguna materia de su responsabilidad.

2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un mtodo estricto de sometimiento a un cuestionario.

3. Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de antemano y busca unas finalidades concretas.

La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste recoge ms informacin, y mejor matizada, que la proporcionada por medios propios puramente tcnicos o por las respuestas escritas a cuestionarios.

Aparte de algunas cuestiones menos importantes, la entrevistaentre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a s mismo. El auditor informtico experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversacin correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparacin muy elaborada y sistematizada, y que es diferente para cada caso particular

Checklist:

El auditor profesional y experto es aqul que reelabora muchas veces sus cuestionarios en funcin de los escenarios auditados. Tiene claro lo que necesita saber, y por qu. Sus cuestionarios son vitales para el trabajo de anlisis, cruzamiento y sntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversar y har preguntas "normales", que en realidad servirn para la cumplimentacin sistemtica de sus Cuestionarios, de sus Checklists.

Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o ledas en voz alta descalifica al auditor informtico. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de informacin a fin de obtener respuestas coherentes que permitan una correcta descripcin de puntos dbiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente.

El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalizacin a cualquier otra forma.

Segn la claridad de las preguntas y el talante del auditor, el auditado responder desde posiciones muy distintas y con disposicin muy variable. El auditado, habitualmente informtico de profesin, percibe con cierta facilidad el perfil tcnico y los conocimientos del auditor, precisamente a travs de las preguntas que ste le formula. Esta percepcin configura el principio de autoridad y prestigio que el auditor debe poseer.

Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por materias, todava lo es ms el modo y el orden de su formulacin. Las empresas externas de Auditora Informtica guardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe olvidarse que la funcin auditora se ejerce sobre bases de autoridad, prestigio y tica.

El auditor deber aplicar el Checklist de modo que el auditado responda clara y escuetamente. Se deber interrumpir lo menos posible a ste, y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones, se har necesario invitar a aqul a que exponga con mayor amplitud un tema concreto, y en cualquier caso, se deber evitar absolutamente la presin sobre el mismo.

Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formular preguntas equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrn descubrir con mayor facilidad los puntos contradictorios; el auditor deber analizar los matices de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomar las notas imprescindibles en presencia del auditado, y nunca escribir cruces ni marcar cuestionarios en su presencia.Trazas y/o Huellas:

Con frecuencia, el auditor informtico debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a travs del programa.

Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecucin de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendr de antemano las fechas y horas ms adecuadas para su empleo.

Por lo que se refiere al anlisis del Sistema, los auditores informticos emplean productos que comprueban los valoresasignados por Tcnica de Sistemas a cada uno de los parmetros variables de las Libreras ms importantes del mismo. Estos parmetros variables deben estar dentro de un intervalo marcado por el fabricante. A modo de ejemplo, algunas instalaciones descompensan el nmero de iniciadores de trabajos de determinados entornos o toman criterios especialmente restrictivos o permisivos en la asignacin de unidades de servicio segn cuales tipos carga. Estas actuaciones, en principio tiles, pueden resultar contraproducentes si se traspasan los lmites.

No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripcin de la auditora informtica de Sistemas: el auditor informtico emplea preferentemente la amplia informacin que proporciona el propio Sistema: As, los ficheros de o de , en donde se encuentra la produccin completa de aqul, y los de dicho Sistema, en donde se recogen las modificaciones de datos y se pormenoriza la actividad general.

Del mismo modo, el Sistema genera automticamente exacta informacin sobre el tratamiento de errores de maquina central, perifricos, etc.

[La auditora financiero-contable convencional emplea trazas con mucha frecuencia. Son programas encaminados a verificar lo correcto de los clculos de nminas, primas, etc.].

*Log:

El log vendra a ser un historial que informa que fue cambiando y cmo fue cambiando (informacin). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se llaman las transacciones. Las transacciones son unidades atmicas de cambios dentro de una base de datos; toda esa serie de cambios se encuadra dentro de una transaccin, y todo lo que va haciendo la Aplicacin (grabar, modificar, borrar) dentro de esa transaccin, queda grabado en el log. La transaccin tiene un principio y un fin, cuando la transaccin llega a su fin, se vuelca todo a la base de datos. Si en el medio de la transaccin se cort por x razn, lo que se hace es volver para atrs. El log te permite analizar cronolgicamente que es lo que sucedi con la informacin que est en el Sistema o que existe dentro de la base de datos.

Software de Interrogacin:

Hasta hace ya algunos aos se han utilizado productos software llamados genricamente , capaces de generar programas para auditores escasamente cualificados desde el punto de vista informtico.

Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos estadsticos que permitieran la obtencin de consecuencias e hiptesis de la situacin real de una instalacin.

En la actualidad, los productos Software especiales para la auditora informtica se orientan principalmente hacia lenguajes que permiten la interrogacin de ficheros y bases de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalacin.

Del mismo modo, la proliferacin de las redes locales y de la filosofa "Cliente-Servidor", han llevado a las firmas de software a desarrollar interfaces de transportede datos entre computadoras personales y mainframe, de modo que el auditor informtico copia en su propia PC la informacin ms relevante para su trabajo.

Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e informacin parcial generada por la organizacin informtica de la Compaa.

Efectivamente, conectados como terminales al "Host", almacenan los datos proporcionados por este, que son tratados posteriormente en modo PC. El auditor se ve obligado (naturalmente, dependiendo del alcance de la auditora) a recabar informacin de los mencionados usuarios finales, lo cual puede realizar con suma facilidad con los polivalentes productos descritos. Con todo, las opiniones ms autorizadas indican que el trabajo de campo del auditor informtico debe realizarse principalmente con los productos del cliente.

Finalmente, ha de indicarse la conveniencia de que el auditor confeccione personalmente determinadas partes del Informe. Para ello, resulta casi imprescindible una cierta soltura en el manejo de Procesadores de Texto, paquetes de Grficos, Hojas de Clculo, etc.

PRINCIPIOS Y REGLAS DE AUDITORIA.

Principio: auditar racionalmente significa explicitar sus finalidades, y deducir de stas los medios y las acciones de investigacin que se consideren necesarios y suficientes.La auditora informtica slo tiene sentido si se define su finalidad: examen de la eficacia o seguridad de un sistema, de la fiabilidad de una aplicacin, verificacin de la aplicacin,etc...

La finalidad est en emitir un juicio sobre el mangement del sistema de Informaciones.

Regla : la auditora informtica consiste en comparar uno o varios actos de management, desde uno o varios puntos de vista, con los que deberan ser.

La auditora informtica siempre llegar a una conclusin cuando los medios asignados sean suficientes y las acciones sean posibles. La auditora informtica jams debe empaar su finalidad ni limitarse a lo que es ms sencillo de examinar,so pena de que el juicio que emita carezca de valor al caer fuera de la cuestin verdadera. Debe ser completa en su finalidad, ya que basta una laguna para que deje de estar garantizada la solidez de todo el control.

Regla: los medios y las acciones elegidas por el auditor deben adaptarse exclusivamente a la finalidad de la auditora, siendo coherentes entre s y, desde luego,fiables y seguros.

En determinados casos la tarea del auditor puede ser muy compleja, para ello deber dividirla en funciones obteniendo conclusiones parciales de stas y establecer un plan de aquellas que resulten ser ms significativas.

Pese a la apariencia de complejidad de la auditora informtica apreciamos cmo el buen uso del ordenador proporciona una mayor garanta y fiabilidad que cuando ste no es utilizado.

MEDIOS DISPONIBLES Y ESPECIFICOS DE AUDITORIA.A) MEDIOS TECNICOS:

A.1) Equipo fsico y locales.

A.2) Software bsico.

B) MEDIOS HUMANOS.

C) MEDIOS FINANCIEROS.

A.1) Equipo fsico y locales: Comprende el ordenador propiamente dicho, el hardware anejo y los soportes fsicos de los ficheros, as como los locales donde se instalan estas mquinas.

Aspectos a tener en cuenta:

1.- Los equipos fsicos y locales han de adaptarse a la finalidad, es decir, a las aplicaciones, tanto cualitativas como cuantitativas.

2.- Dada la evolutividad de los objetivos el equipo fsico debe ser tambin evolutivo sin dejar de resultar adecuado y modular.

3.- Cada componente del equipo fsico de formar parte de un todo homogneo.

4.- Otros criterios de eleccin son la fiabilidad del material y la rapidez de las restauraciones.

5.- Para garantizar la consecucin de la finalidad se hace necesario garantizar la seguridad del hardware. Es conveniente disponer de un plan preventivo y curativo para garantizar esa seguridad.

El plan preventivo debe prever catstrofes generales ( incendio, inundacin,...) as como otros sucesos ( cortes de fludo elctrico, aumentos de tensin, presencia de polvo,...).

El plan curativo est formado por soluciones de emergencia en circunstancias diversas. Resulta fundamental la salvaguarda en lugares distintos de un nmero suficiente de generaciones de ficheros, de programas y su modo de empleo.

6.- Una documentacin actualizada y disponible debe describir las caracterstica tcnicas del equipo fsico.

Herramientas de auditora especfica:

a) La auditora del equipo fsico debe comprobar si se aplican las reglas anteriores: adaptabilidad, homogeneidad, seguridad, fiabilidad,... Para ello, el auditor debe estar provisto de unos conocimientos tcnicos slidos.

b) El auditor valorar la adaptacin a los objetivos y a las acciones tomando como base de juicio la evolucin histrica.

c) El inters del auditor por las ejecuciones trs la adaptacin a las finalidades.

d) Estimacin de la homogeneidad de los componentes y su fiabilidad atendiendo a las estadsticas de tiempo de utilizacin y la conservacin de grabaciones en caso de fallos.

e) El estudio del presupuesto de seguridad evaluando los medios en funcin del sevicio que prestan y conforme a la probabilidad de fallo que pueden tener. Tambin se examinar la seguridad del material suplementario y los formularios que contienen talonarios y letras.

La conservacin se evala a partir de los contratos y de los informes de indisponibilidad. Puede ser preventiva (mantenimiento) o curativa (restauracin).

A.2) Software bsico:

Constituye una parte creciente del coste de un sistema. Tiene una importancia primordial en la seguridad de las operaciones pero a medida que va creciendo ms compleja es su evaluacin.

Aspectos a tener en cuenta:

1.-El software bsico se adapta a las finalidades siempre y cuando permita una correcta utilizacin del hardware con el lenguaje y en el modo de explotacin elegidos para ejecutar las aplicaciones.

El software posee muchas posibilidades pero lo ms interesante a nivel prctico es la posibilidad de poder incorporarse en gran parte al equipo fsico.

2.-La evolutividad del software exige una transparencia de su dependencia con respecto a las aplicaciones del equipo fsico.

Los lmites de las posibilidades del software deben encontrarse bastante alejados, as como los obstculos no deben ser tan rgidos.

Tanto las opciones del software como sus modificaciones futuras deben anotarse dentro de un estudio como ya ocurre con el hardware.

3.-Los componentes del software bsico deben estar adaptados entre s y con la configuracin del equipo fsico siempre en funcin de la finalidad.

Por otro lado, tambin ha de adaptarse a los medios humanos, tanto para aquellos que desarrollan las aplicaciones como tambin para los que las usan.

4.-La fiabilidad del software bsico se consigue mediante el registro de las anomalas para su posterior anlisis y rectificacin por el constructor aunque el software debe emplear ayudas para diagnstico de fallos.

Resulta esencial que el software permita implantar los puntos de enlace eficazmente utilizables mediante la reinicializacin en la eventualidad de un mal funcionamiento, como una adecuada recuperacin de los ficheros.

En definitiva, la fiabilidad de una base de datos est sealada en su sistema de gestin.

5.-Para la seguridad del software bsico se requiere una proteccin contra los accesos prohibidos, especialmente en el modo interactivo y en un sistema de base de datos.

Se aconseja la proteccin de los programas y datos temporales alojados en la memoria central, as como recomendable la rpida destuccin de ficheros con informacin confidencial.

Las distintas protecciones del software deben registrar el intento de acceso ilegal. Aunque resulta difcil obtener una proteccin eficaz contra el acceso no autorizado en pequeos sistemas debiendo colocar los ficheros en soportes que slo se manejen a la hora de su empleo.

6.-Resulta importante que el software contenga una documentacin completa y actualizada que le sirva de referencia al usuario.

Herramienta de auditora especfica:

a) La auditora del software bsico, en primer lugar, puede tener por fin la evaluacin de su adaptacin y de su evolutividad as como de su homogeneidad con los otros componentes.

Igualmente, la auditora del software bsico puede versar sobre la fiabilidad y/o la seguridad.

b) El auditor ha de ser realista pues al examinar el software directamente no puede hacer ms que comprobar reducidos fragmentos, incluso cuando la documentacin existe y est bien hecha.

Es indispensable que el auditor adquiera los conocimientos para comprender el funcionamiento y poder intentar encontrar las deficiencias o la mala realizacin como si fuera un sistema de gestin de ficheros ordinarios.

c) El auditor ha de examinar la consulta de la documentacin pues sto le indica la complejidad del software o bien su falta de actualizacin.

B) Medios humanos.

Aspectos a tener en cuenta:

1.- Las personas tienen su propia finalidad la cul tratan de satisfacer, an as en una empresa se ha de respetar la realizacin de los objetivos definidos, sin quedar bloqueado por la reticencia de rutina y por la ostilidad particular.

2.- Es necesario un reparto de las responsabilidades de forma arborescente, cada equipo ha de contar con un escaso nmero de miembros, incluso resulta aconsejable una rotacin de las responsabilidades.

3.- Se requiere buenas relaciones entre los miembros del personal, lo que cada uno hace debe ser conocido globalmente por todos, y estar accesible de forma detallada. A su vez, debe ser un trabajo organizado y revisado racionalmente.

Tambin es importante una formacin y una informacin suficiente para que el personal tenga una visin bastante amplia de los problemas y de las interrelaciones.

4.- Se ha de proceder a una verificacin de las informaciones transmitidas y tratadas por cada miembro del personal. Las comprobaciones deben ser tales que se detecte con rapidez el error humano y se rectifique antes de que se produzcan grandes consecuencias.

La documentacin e informacin recprocas deben ser suficientes para que nadie resulte insustituible.

5.- La seguridad comienza por la seleccin del personal y contina por el control mutuo en la realizacin de las tareas ms importantes.

An as, es preciso precaverse contra un posible sabotaje directo o indirecto.

6.- Sin informacin no hay motivacin, por tanto los fines y mtodos adoptados han de ser comprendidos y aceptados, a la vez que la formacin del personal es en s mismo una finalidad.

Herramientas de auditora especfica:

a) Es conveniente tener el historial general del servicio y de los movimientos del personal.

b) Comprobar la adecuacin al plan de los medios humanos por medio de los organigramas y fichas de funcin.

c) Los medios humanos del sistema de informaciones son tambin piezas externas al servicio informtico.

d) Se requiere que las acciones den fiabilidad de las realizaciones al igual que las hojas de consola nos indican la fiabilidad de las operaciones de explotacin.

La separacin de funciones, un examen de todas las protecciones materiales y lgicas y un conocimiento de los modos operativos proporcionan en su conjunto la seguridad humana.

La realizacin de cursos como la utilizacin de libros y revistas conllevan una mejor documentacin y una mayor formacin.

C) Medios financieros.

La eleccin de los medios financieros ha de considerarse de forma global. No slo consiste en determinar qu equipos fsicos, programas o realizaciones cuestan ms o menos, sino tambin abarca otros aspectos, adems del econmico, tales como: fiabilidad, velocidad de procesamiento, rentabilidad, etc....

Aspectos a tener en cuenta:

1.- La adecuacin de los medios financieros a la finalidad se mide por la proporcin entre los gastos exigidos y los resultados (financieros o no) obtenidos.

Los mtodos de control de gestin y contabilidad presupuestaria clsicos sirven para prever y posteriormente controlar la adecuacin a los objetivos.

La evolutividad implica un presupuesto no slo flexible sino modulado en el tiempo, ya que los costes son importantes.

2.- Los mtodos clsicos de la contabilidad analtica permiten establecer los estndares de homogeneidad de los medios financieros.

Tambin es muy til verificar peridicamente si los costes imputados son todava competitivos con relacin a un servicio exterior.

3.- Para elaborar un sistema equitativo sera preciso que dos servicios semejantes diera lugar a una misma valoracin.

Los costos deben ser registrados de forma fiable, completa y pertinente, y los clculos y agrupaciones efectuados deben ser legtimos. El trabajo del personal debe ser registrado o repartido segn conceptos para que las cifras conserven algn sentido.

4.- La seguridad financiera se obtiene por una rentabilidad duradera de la financiacin de hardware y el software.

A la hora de la entrega de los equipos informticos, el contrato debe recoger un plan y un informe de gastos que condujo a su eleccin. La garanta de fiabilidad material reside en una clusula que fija el plazo de intervencin, en caso de avera, y el grado de fiabilidad de los componentes.

Tambin puede contratarse un seguro para una garanta eficaz de los equipos.

5.- Tanto los contratos de adquisicin y seguro como los documentos contables comprenden la documentacin sobre los medios financieros.

Herramientas de auditora especfica:

a) Unos mnimos conocimientos por el auditor a nivel de contabilidad analtica y presupuestaria as como de derecho comercial y seguros, con lo que podr comprobar la existencia y la adecuacin de los presupuestos de inversin, la correccin de las previsiones y medios de control, as como la forma de financiacin.

b) Para la seguridad de los medios financieros el auditor consultar todos los documentos contractuales que vinculan a la empresa.


AUDITORIA CONTÍNUA: UM NOVO PARADIGMA DE ...Auditoria contínua, auditoria tradicional, sistemas de informação, tecnologias de informação e comunicação, auditoria interna, controlo

AUDITORIA CONTÍNUA: UM NOVO PARADIGMA DE ...Auditoria contínua, auditoria tradicional, sistemas de informação, tecnologias de informação e comunicação, auditoria interna, controlo

Documents
Auditoria-metodologia agil-proyecto de auditoria-auditoria de escuela

Auditoria-metodologia agil-proyecto de auditoria-auditoria de escuela

Software
CLASIFICACIÓN DE LA AUDITORIA AUDITORIA INTERNA AUDITORIA EXTERNA

CLASIFICACIÓN DE LA AUDITORIA AUDITORIA INTERNA AUDITORIA EXTERNA

Documents
AUDITORIA TÉCNICAS Y PROCEDIMIENTOS DE AUDITORIA

AUDITORIA TÉCNICAS Y PROCEDIMIENTOS DE AUDITORIA

Documents
INFORME AUDITORIA INFORME AUDITORIA INTERNA INTERNA

INFORME AUDITORIA INFORME AUDITORIA INTERNA INTERNA

Documents
AUDITORIA - Programatraineegrupocanopus's Blog | Just ... · atividades de Auditoria e de seus resultados. Características e Diferenças Básicas Elementos Auditoria Interna Auditoria

AUDITORIA - Programatraineegrupocanopus's Blog | Just ... · atividades de Auditoria e de seus resultados. Características e Diferenças Básicas Elementos Auditoria Interna Auditoria

Documents
Auditoria medica en essalud.plan de auditoria

Auditoria medica en essalud.plan de auditoria

Health & Medicine
Auditoria Informatica y Auditoria Forense_Final.pdf

Auditoria Informatica y Auditoria Forense_Final.pdf

Documents
TALLERES DE AUDITORIA (AUDITORIA FINANCIERA)

TALLERES DE AUDITORIA (AUDITORIA FINANCIERA)

Education
AUDITORIA INTEGRADA RELATÓRIO PRÉVIO DE AUDITORIA …

AUDITORIA INTEGRADA RELATÓRIO PRÉVIO DE AUDITORIA …

Documents
Diferencias entre Auditoria Administrativa y Auditoria Financiera

Diferencias entre Auditoria Administrativa y Auditoria Financiera

Documents
AUDITORIA INTERNA: AUDITORIA FECHA ELABORACIÓN

AUDITORIA INTERNA: AUDITORIA FECHA ELABORACIÓN

Documents
Auditoria i Tecnicas y Procedimientos de Auditoria

Auditoria i Tecnicas y Procedimientos de Auditoria

Documents
Manual de Auditoria - contagem.mg.gov.br · Auditoria Contábil 5 Auditoria de Sistemas 5 Auditoria Especial 5 NORMAS FUNDAMENTAIS DE AUDITORIA 5 NORMAS RELATIVAS À PESSOA DO AUDITOR

Manual de Auditoria - contagem.mg.gov.br · Auditoria Contábil 5 Auditoria de Sistemas 5 Auditoria Especial 5 NORMAS FUNDAMENTAIS DE AUDITORIA 5 NORMAS RELATIVAS À PESSOA DO AUDITOR

Documents
Auditoria Fiscal versus Auditoria Financeira Auditoria ... · Auditoria Interna Janeiro/Março 2010 Nº 37 Agenda ... aspectos relevantes: Prémio “Melhor estudo”: 8 candidaturas;

Auditoria Fiscal versus Auditoria Financeira Auditoria ... · Auditoria Interna Janeiro/Março 2010 Nº 37 Agenda ... aspectos relevantes: Prémio “Melhor estudo”: 8 candidaturas;

Documents
Relatório de Auditoria de Contas€¦ · auditoria sobre as demonstrações financeiras acima referidas, com base em auditoria realizada. O Comissariado da Auditoria realizou a auditoria

Relatório de Auditoria de Contas€¦ · auditoria sobre as demonstrações financeiras acima referidas, com base em auditoria realizada. O Comissariado da Auditoria realizou a auditoria

Documents
piagev.ufps.edu.co · Auditoria de Calidad Proceso Gestión Estudiantil, Auditoria de Calidad Proceso Docencia, Auditoria de Calidad Proceso Control Disciplinario, Auditoria de

piagev.ufps.edu.co · Auditoria de Calidad Proceso Gestión Estudiantil, Auditoria de Calidad Proceso Docencia, Auditoria de Calidad Proceso Control Disciplinario, Auditoria de

Documents
Módulo Contabilidad y Auditoria - Auditoria para Pymes

Módulo Contabilidad y Auditoria - Auditoria para Pymes

Education
RELATÓRIO DE AUDITORIA INTERNA Nº 01/2017 AUDITORIA …rio de Auditoria... · de Auditoria Interna nº 01/2017, para apreciação e ... A presente auditoria tinha como prazo para

RELATÓRIO DE AUDITORIA INTERNA Nº 01/2017 AUDITORIA …rio de Auditoria... · de Auditoria Interna nº 01/2017, para apreciação e ... A presente auditoria tinha como prazo para

Documents
AUDITORIA DE RECURSOS HUMANOS AUDITORIA DE RECURSOS HUMANOS

AUDITORIA DE RECURSOS HUMANOS AUDITORIA DE RECURSOS HUMANOS

Documents
Conceptos de auditoria y clases de auditoria

Conceptos de auditoria y clases de auditoria

Education
Auditoria Contábil - turma.yolasite.comturma.yolasite.com/resources/01 - Fundamentos de Auditoria - 1.pdf · Auditoria Contábil Auditoria de Sistemas Informatizados Compreende o

Auditoria Contábil - turma.yolasite.comturma.yolasite.com/resources/01 - Fundamentos de Auditoria - 1.pdf · Auditoria Contábil Auditoria de Sistemas Informatizados Compreende o

Documents
Auditoria e Controladoriaww1.ead.upe.br/.../adm7/auditoria/auditoria.pdf · 2015-05-12 · Unidade 4 – Auditoria Governamental Introdução à Auditoria Governamental ..... 137

Auditoria e Controladoriaww1.ead.upe.br/.../adm7/auditoria/auditoria.pdf · 2015-05-12 · Unidade 4 – Auditoria Governamental Introdução à Auditoria Governamental ..... 137

Documents
Auditoria Por Ciclos de Transacciones, Auditoria IV 1er.trabajo

Auditoria Por Ciclos de Transacciones, Auditoria IV 1er.trabajo

Documents
Auditoria Financiera - Aplicacion proceso de auditoria

Auditoria Financiera - Aplicacion proceso de auditoria

Documents
AUDITORIA CONTÁBIL - OBJETIVO DA PALESTRA COMENTAR SOBRE: (1) PRÉ PROPOSTA DE AUDITORIA (2) objetivo da auditoria independente e auditoria interna frente

AUDITORIA CONTÁBIL - OBJETIVO DA PALESTRA COMENTAR SOBRE: (1) PRÉ PROPOSTA DE AUDITORIA (2) objetivo da auditoria independente e auditoria interna frente

Documents
Auditoria de Sistemas Auditoria Centro de Computo

Auditoria de Sistemas Auditoria Centro de Computo

Documents
AUDITORIA E CLASSIFICAÇÃO DE AUDITORIA

AUDITORIA E CLASSIFICAÇÃO DE AUDITORIA

Documents
Trabajo Auditoria Conta Ambiental Auditoria Sindicato.empresa .. 3 1

Trabajo Auditoria Conta Ambiental Auditoria Sindicato.empresa .. 3 1

Documents
AUDITORIA DE SISTEMAS AUDITORIA EN INFORMATICA. I. ANTECEDENTES

AUDITORIA DE SISTEMAS AUDITORIA EN INFORMATICA. I. ANTECEDENTES

Documents