• Home

  • Documents

  • Conceptos de Auditoría de Sistemas de la Información
25
Conceptos de Auditoría de Sistemas de la Información • Procedimientos y tecnicas de auditoría de sistemas. • Areas de la auditoría de sistemas: Las areas de las que se ocupa la auditoría de sistemas son: 1. Revisión de controles generales 2. Revisión de centros de cómputo 3. Revisión de Seguridad 4. Recuperación de desastres 5. Revisión de Sistemas Operativos 6. Revisión en el ciclo de vida de las Aplicaciones 7. Revisión de controles en las Aplicaciones Base de datos de Enlaces sugeridos CONCEPTOS DE AUDITORIA DE SISTEMAS DE LA INFORMACION PROCEDIMIENTOS Y TECNICAS DE AUDITORIA. Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoría que consta de objetivos de control y procedimientos de auditoría que deben satisfacer esos objetivos. El proceso de auditoría exige que el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditoría que presente esos temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditoría debe garantizar una disponibilidad y asignación adecuada de recursos para realizar el trabajo de auditoría además de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia. Planificación de la auditoría Una planificación adecuada es el primer paso necesario para realizar auditorías de sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoría así como los riesgos del negocio y control asociado. A continuación se menciona algunas de las áreas que deben ser cubiertas durante la planificación de la auditoría: a. Comprensión del negocio y de su ambiente. Al planificar una auditoría, el auditor de sistemas debe tener una comprensión de suficiente del ambiente total que se revisa.

Conceptos de Auditoría de Sistemas de la Información

Embed Size (px)

Citation preview

Page 1: Conceptos de Auditoría de Sistemas de la Información

Conceptos de Auditoría de Sistemas de la Información • Procedimientos y tecnicas de auditoría de sistemas. • Areas de la auditoría de sistemas: Las areas de las que se ocupa la auditoría de sistemas son: 1. Revisión de controles generales 2. Revisión de centros de cómputo 3. Revisión de Seguridad 4. Recuperación de desastres 5. Revisión de Sistemas Operativos 6. Revisión en el ciclo de vida de las Aplicaciones 7. Revisión de controles en las Aplicaciones Base de datos de Enlaces sugeridos 

CONCEPTOS DE AUDITORIA DE SISTEMAS DE LA INFORMACION 

PROCEDIMIENTOS Y TECNICAS DE AUDITORIA. 

Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoría que consta de objetivos de control y procedimientos de auditoría que deben satisfacer esos objetivos. El proceso de auditoría exige que el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditoría que presente esos temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditoría debe garantizar una disponibilidad y asignación adecuada de recursos para realizar el trabajo de auditoría además de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia. Planificación de la auditoría Una planificación adecuada es el primer paso necesario para realizar auditorías de sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoría así como los riesgos del negocio y control asociado. A continuación se menciona algunas de las áreas que deben ser cubiertas durante la planificación de la auditoría: a. Comprensión del negocio y de su ambiente. Al planificar una auditoría, el auditor de sistemas debe tener una comprensión de suficiente del ambiente total que se revisa. Debe incluir una comprensión general de las diversas prácticas comerciales y funciones relacionadas con el tema de la auditoría, así como los tipos de sistemas que se utilizan. El auditor de sistemas también debe comprender el ambiente normativo en el que opera el negocio. Por ejemplo, a un banco se le exigirá requisitos de integridad de sistemas de información y de control que no están presentes en una empresa manufacturera. Los pasos que puede llevar a cabo un auditor de sistemas para obtener una comprensión del negocio son: Recorrer las instalaciones del ente. Lectura de material sobre antecedentes que incluyan publicaciones sobre esa industria, memorias e informes financieros. Entrevistas a gerentes claves para comprender los temas comerciales esenciales. Estudio de los informes sobre normas o reglamentos. Revisión de planes estratégicos a largo plazo. Revisión de informes de auditorías anteriores. b. Riesgo y materialidad de auditoría. 

Page 2: Conceptos de Auditoría de Sistemas de la Información

Se puede definir los riesgos de auditoría como aquellos riesgos de que la información pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Los riesgos en auditoría pueden clasificarse de la siguiente manera: Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay. La palabra "material" utilizada con cada uno de estos componentes o riesgos, se refiere a un error que debe considerarse significativo cuando se lleva a cabo una auditoría. En una auditoría de sistemas de información, la definición de riesgos materiales depende del tamaño o importancia del ente auditado así como de otros factores. El auditor de sistemas debe tener una cabal comprensión de estos riesgos de auditoría al planificar. Una auditoría tal vez no detecte cada uno de los potenciales errores en un universo. Pero, si el tamaño de la muestra es lo suficientemente grande, o se utiliza procedimientos estadísticos adecuados se llega a minimizar la probabilidad del riesgo de detección. De manera similar al evaluar los controles internos, el auditor de sistemas debe percibir que en un sistema dado se puede detectar un error mínimo, pero ese error combinado con otros, puede convertiré en un error material para todo el sistema. La materialidad en la auditoría de sistemas debe ser considerada en términos del impacto potencial total para el ente en lugar de alguna medida basado en lo monetario. c. Técnicas de evaluación de Riesgos. Al determinar que áreas funcionales o temas de auditoría que deben auditarse, el auditor de sistemas puede enfrentarse ante una gran variedad de temas candidatos a la auditoría, el auditor de sistemas debe evaluar esos riesgos y determinar cuales de esas áreas de alto riesgo debe ser auditada. Existen cuatro motivos por los que se utiliza la evaluación de riesgos, estos son: Permitir que la gerencia asigne recursos necesarios para la auditoría. Garantizar que se ha obtenido la información pertinente de todos los niveles gerenciales, y garantiza que las actividades de la función de auditoría se dirigen correctamente a las áreas de alto riesgo y constituyen un valor agregado para la gerencia. Constituir la base para la organización de la auditoría a fin de administrar eficazmente el departamento. Proveer un resumen que describa como el tema individual de auditoría se relaciona con la organización global de la empresa así como los planes del negocio. d. Objetivos de controles y objetivos de auditoría. El objetivo de un control es anular un riesgo siguiendo alguna metodología, el objetivo de auditoría es verificar la existencia de estos controles y que estén funcionando de manera eficaz, respetando las políticas de la empresa y los objetivos de la empresa. Así pues tenemos por ejemplo como objetivos de auditoría de sistemas los siguientes: La información de los sistemas de información deberá estar resguardada de acceso incorrecto y se debe mantener actualizada. Cada una de las transacciones que ocurren en los sistemas es autorizada y es ingresada una sola vez. Los cambios a los programas deben ser debidamente aprobados y probados. Los objetivos de auditoría se consiguen mediante los procedimientos de auditoría. e. Procedimientos de auditoría. Algunos ejemplos de procedimientos de auditoría son: Revisión de la documentación

Page 3: Conceptos de Auditoría de Sistemas de la Información

de sistemas e identificación de los controles existentes. Entrevistas con los especialistas técnicos a fin de conocer las técnicas y controles aplicados. Utilización de software de manejo de base de datos para examinar el contenido de los archivos de datos. Técnicas de diagramas de flujo para documentar aplicaciones automatizadas. Desarrollo del programa de auditoría. Un programa de auditoría es un conjunto documentado de procedimientos diseñados para alcanzar los objetivos de auditoría planificados. El esquema típico de un programa de auditoría incluye lo siguiente: a. Tema de auditoría: Donde se identifica el área a ser auditada. b. Objetivos de Auditoría: Donde se indica el propósito del trabajo de auditoría a realizar. c. Alcances de auditoría: Aquí se identifica los sistemas específicos o unidades de organización que se han de incluir en la revisión en un período de tiempo determinado. d. Planificación previa: Donde se identifica los recursos y destrezas que se necesitan para realizar el trabajo así como las fuentes de información para pruebas o revisión y lugares físicos o instalaciones donde se va auditar. e. Procedimientos de auditoría: para: • Recopilación de datos. • Identificación de lista de personas a entrevistar. • Identificación y seleccion del enfoque del trabajo • Identificación y obtención de políticas, normas y directivas. • Desarrollo de herramientas y metodología para probar y verificar los controles existentes. • Procedimientos para evaluar los resultados de las pruebas y revisiones. • Procedimientos de comunicación con la gerencia. • Procedimientos de seguimiento. El programa de auditoría se convierte también en una guía para documentar los diversos pasos de auditoría y para señalar la ubicación del material de evidencia. Generalmente tiene la siguiente estructura: |Procedimientos de |Lugar |Papeles Trabaj. |Hecho | |Auditoría | |Referencia |Por. Fecha | |  |  |  |  |  | |  |  |  |  |  | 

Los procedimientos involucran pruebas de cumplimiento o pruebas sustantivas, las de cumplimiento se hacen para verificar que los controles funcionan de acuerdo a las políticas y procedimientos establecidos y las pruebas sustantivas verifican si los controles establecidos por las políticas o procedimientos son eficaces. Asignación de Recursos de auditoría. La asignación de recursos para el trabajo de auditoría debe considerar las técnicas de administración de proyectos las cuales tienen los siguientes pasos básicos: Desarrollar un plan detallado: El plan debe precisar los pasos a seguir para cada tarea y estimar de manera realista, el tiempo teniendo en cuenta el personal disponible. Contrastar la actividad actual con la actividad planificada en el proyecto: debe existir algún mecanismo que permita comparar el progreso real con lo planificado. Generalmente se utilizan las hojas de control de tiempo. Ajustar el plan y tomar las acciones correctivas:

Page 4: Conceptos de Auditoría de Sistemas de la Información

si al comparar el avance con lo proyectado se determina avances o retrasos, se debe reasignar tareas. El control se puede llevar en un diagrama de Gantt   [pic] Así mismo las hojas de control de tiempo son generalmente como sigue:   [pic] Los recursos deben comprender también las habilidades con las que cuenta el grupo de trabajo de auditoría y el entrenamiento y experiencia que estos tengan. Tener en cuenta la disponibilidad del personal para la realización del trabajo de auditoría, como los períodos de vacaciones que estos tengan, otros trabajos que estén realizando, etc. Técnicas de recopilación de evidencias. La recopilación de material de evidencia es un paso clave en el proceso de la auditoría, el auditor de sistemas debe tener conocimiento de cómo puede recopilar la evidencia examinada. Algunas formas son las siguientes: • Revisión de las estructuras organizacionales de sistemas de información. • Revisión de documentos que inician el desarrollo del sistema, especificaciones de diseño funcional, historia de cambios a programas ,manuales de usuario, especificaciones de bases de datos, arquitectura de archivos de datos, listados de programas, etc.; estos no necesariamente se encontrarán en documentos, si no en medios magnéticos para lo cual el auditor deberá conocer las formas de recopilarlos mediante el uso del computador. • Entrevistas con el personal apropiado, las cuales deben tener una naturaleza de descubrimiento no de acusatoria. • Observación de operaciones y actuación de empleados, esta es una técnica importante para varios tipos de revisiones, para esto se debe documentar con el suficiente grado de detalle como para presentarlo como evidencia de auditoría. • Auto documentación, es decir el auditor puede preparar narrativas en base a su observación, flujogramas, cuestionarios de entrevistas realizados. Aplicación de técnicas de muestreo para saber cuando aplicar un tipo adecuado de pruebas (de cumplimiento o sustantivas) por muestras. • Utilización de técnicas de auditoría asistida por computador CAAT, consiste en el uso de software genérico, especializado o utilitario. Evaluación de fortalezas y debilidades de auditoría. Luego de desarrollar el programa de auditoría y recopilar evidencia de auditoría, el siguiente paso es evaluar la información recopilada con la finalidad de desarrollar una opinión. Para esto generalmente se utiliza una matriz de control con la que se evaluará el nivel de los controles identificados, esta matriz tiene sobre el eje vertical los tipos de errores que pueden presentarse en el área y un eje horizontal los controles conocidos para detectar o corregir los errores, luego se establece un puntaje (puede ser de 1 a 10 ó 0 a 20, la idea es que cuantifique calidad) para cada correspondencia, una vez completada, la matriz muestra las áreas en que los controles no existen o son débiles, obviamente el auditor debe tener el suficiente criterio para juzgar cuando no lo hay si es necesario el control. Por ejemplo:   [pic] En esta parte de evaluación de debilidades y fortalezas también se debe elegir o determinar la materialidad de las observaciones o hallazgos de auditoría. El auditor de sistemas debe juzgar cuales observaciones son materiales a diversos niveles de la gerencia y se debe informar de acuerdo a ello. 

Page 5: Conceptos de Auditoría de Sistemas de la Información

Informe de auditoría. Los informes de auditoría son el producto final del trabajo del auditor de sistemas, este informe es utilizado para indicar las observaciones y recomendaciones a la gerencia, aquí también se expone la opinión sobre lo adecuado o lo inadecuado de los controles o procedimientos revisados durante la auditoría, no existe un formato específico para exponer un informe de auditoría de sistemas de información, pero generalmente tiene la siguiente estructura o contenido: • Introducción al informe, donde se expresara los objetivos de la auditoría, el período o alcance cubierto por la misma, y una expresión general sobre la naturaleza o extensión de los procedimientos de auditoría realizados. • Observaciones detalladas y recomendaciones de auditoría. • Respuestas de la gerencia a las observaciones con respecto a las acciones correctivas. • Conclusión global del auditor expresando una opinión sobre los controles y procedimientos revisados. Seguimiento de las observaciones de auditoría. El trabajo de auditoría es un proceso continuo, se debe entender que no serviría de nada el trabajo de auditoría si no se comprueba que las acciones correctivas tomadas por la gerencia, se están realizando, para esto se debe tener un programa de seguimiento, la oportunidad de seguimiento dependerá del carácter crítico de las observaciones de auditoría. El nivel de revisión de seguimiento del auditor de sistemas dependerá de diversos factores, en algunos casos el auditor de sistemas tal vez solo necesite inquirir sobre la situación actual, en otros casos tendrá que hacer una revisión más técnica del sistema. 

Revisión de los controles generales. 

El objetivo de esta revisión es analizar y evaluar la estructura organizacional, las políticas, los procedimientos operativos, el control de costos, El uso de los recursos materiales y técnicos del departamento encargado de los sistemas de información dentro de la empresa. Es decir evaluar la administración de la función de sistemas de la empresa. Para conseguirlo, el equipo de auditoría realiza lo siguiente: a. Revisión de documentación: • Organigramas, diagramas de funciones. Los organigramas o diagramas de funciones, le brindan al auditor de sistemas una clara comprensión de las líneas de comunicación jerárquicas de un departamento u organización como un todo. Muestran una división de funciones. Perfiles de personal. Los perfiles de personal definen las funciones y responsabilidades de las diversas tareas de una organización, también brindan a la organización la capacidad de agrupar tareas similares en diferentes niveles de puestos para garantizar la remuneración justa para su personal. • Informes del comité de sistemas. Los informes del comité de sistemas brindan información documentada acerca de los proyectos de nuevos sistemas. Estos informes son revisados por la gerencia de nivel superior y distribuido entre las diversas unidades funcionales de la empresa. • Política de seguridad. La documentación de la política de seguridad da un estándar de cumplimiento, esta debe definir la posición de la organización en cuanto a cualquiera y todos los riesgos de seguridad. Debe identificar quien es el responsable de la salvaguarda de los bienes de la empresa, incluyendo programas y datos. Así

Page 6: Conceptos de Auditoría de Sistemas de la Información

mismo, debe expresar las medidas preventivas que han de realizarse para dar una protección adecuada y las acciones que han de emprenderse contra quienes la violen. • Manuales de Políticas de personal. Los manuales de políticas de personal dan las reglas y reglamentaciones determinadas por la organización sobre como se espera que se comporten los empleados. • Objetivos a Corto y Largo Plazo. Planes de trabajo a corto y largo plazo reflejan estos objetivos de departamento, los cuales deberán estar de acuerdo con las necesidades de los usuarios y debidamente autorizados. b. Entrevistas al Personal: • Personal relacionado a las operaciones del centro de cómputo. La realización de entrevistas al personal de operaciones del centro de cómputo debe incorporar garantías adecuadas de que el candidato tiene las destrezas técnicas necesarias para realizar sus tareas. Este es un importante factor que contribuye a una operación eficaz y eficiente. • Personal usuario. La realización de entrevistas al personal usuario debe también incorporar garantías adecuadas de que el candidato tiene las destrezas técnicas necesarias para realizar eficazmente la función específica de sus tareas. • Otro personal pertinente. El Auditor a su criterio decidirá si es conveniente entrevistarse con otro personal que tiene relación con el sistema y este deberá cumplir con los estándares de la empresa y tendrá el mismo nivel de lealtad y confianza. c. observación de personal realizando sus tareas: • Permite ver: Funciones Reales. La observación es el mejor método para garantizar que la persona que esta asignada y autorizada a realizar determinada función es la persona que en realidad esta cumpliendo la tarea. Permite que el auditor de sistemas tenga oportunidad de ser testigo de cómo se comprenden y aplican las políticas y procedimientos.• Percepción de la seguridad. La percepción de seguridad debe ser observada para comprobar la comprensión y práctica de buenas medidas de seguridad preventiva y de detección por parte de la persona observada a fin de salvaguardar los bienes y datos de la empresa. • Relaciones de comunicación jerárquica. Deben observarse las relaciones de quien reporta a quien a fin de asegurarse de que se ponen en práctica las responsabilidades asignadas y una adecuada segregación de tareas. d. Señales de peligro de auditoría: Si bien existen innumerables condiciones de incumbencia para el auditor de sistemas, algunos de los indicadores más significativos de problemas potenciales son: • Actitudes desfavorables de los usuarios finales. • Costos excesivos. • Exceso al presupuesto. • Alta rotación de personal. • Frecuentes errores de los computadores. • Atraso excesivo de solicitudes de usuarios no satisfechas. • Elevado tiempo de respuesta del computador. • Numerosos proyectos de desarrollo abortados o suspendidos. • Compras de Hardware y Software sin respaldo o autorización. • Cambios frecuentes a versiones superiores de Hardware y Software. e. Información que solicita el auditor: El auditor Para evaluar los controles generales solicita lo siguiente: 

Page 7: Conceptos de Auditoría de Sistemas de la Información

A nivel organizacional. • Objetivos del Departamento a corto y largo Plazo. • Manual de la organización. • Antecedentes o historia de la empresa. • Políticas generales. A nivel del área informática. • Objetivos a corto y largo plazo. • Manual de organización que incluya puestos, funciones y jerarquías. • Manual de políticas, reglamentos y lineamientos internos. • Procedimientos administrativos del área. • Presupuestos y costos en el área. • Recursos materiales y técnicos. • Solicitar un inventario actualizado de equipos, que incluya: características, fecha de instalación, ubicación, etc. Contratos vigentes de compra, renta y servicios de mantenimiento. • Contrato de seguros. • Convenios con otras instalaciones. • Configuraciones de equipos. • Planes de expansión. • Políticas de uso y operación de equipos. Revisión de Centros de Computo. Consiste en revisar los controles en las operaciones del centro de procesamiento de información en los siguientes aspectos: 1. Revisión de controles en el equipo: Se hace para verificar si existen formas adecuadas de detectar errores de procesamiento, prevenir accesos no autorizados y mantener un registro detallado de todas las actividades del computador que debe ser analizado periódicamente. 2. Revisión de programas de operación: se verifica que el cronograma de actividades para procesar la información asegure la utilización efectiva del computador. 3. Revisión de controles ambientales: se hace para verificar si los equipos tienen un cuidado adecuado, es decir si se cuenta con deshumidificadores, aire acondicionado, fuentes de energía continua, extintores de incendios, etc. 4. Revisión del plan de mantenimiento: Aquí se verifica que todos los equipos principales tengan un adecuado mantenimiento que garantice su funcionamiento continuo. 5. Revisión del sistema de administración de archivos: se hace para verificar que existan formas adecuadas de organizar los archivos en el computador, que estén respaldados, así como asegurar que el uso que le dan es el autorizado. 6. Revisión del plan de contingencias: Aquí se verifica si es adecuado el plan de recupero en caso de desastre, el cual se detalla mas adelante. Revisión de Seguridad. El objetivo de esta revisión es analizar y evaluar los controles diseñados para salvaguardar las instalaciones del centro de procesamiento de datos de eventos accidentales, intencionales o naturales que puedan causar daños, pérdidas de información o destrucción, la revisión de estos controles están relacionados con el acceso lógico y acceso físico y con el ambiente en los centros de información. Se debe tener en cuenta que la filosofía de la seguridad, esta basada en "saber quien es" para "saber que puede hacer" 

Page 8: Conceptos de Auditoría de Sistemas de la Información

a) Controles de acceso lógico: Se usan para limitar el uso de las aplicaciones de los computadores, algunos ejemplos son: Login y passwords, estos sirven para identificar el usuario y por lo tanto con este dato el sistema, otorgará niveles de acceso en las aplicaciones, es decir niveles como los siguientes: solo lectura, lectura modificación, creación, eliminación de registros, ejecutar, copiar, etc. Acceso a los sistemas utilizando tecnología biométrica, basados en la voz, retina, huella digital, etc. Procedimientos de Dial-Back, que consiste en la identificación del usuario a través de su número de línea y luego verificando si este número de línea esta autorizado. b) Controles de acceso Físico: Se usan generalmente para el resguardo del centro de computo, o centros importantes de procesamiento de datos son muy variados, he aquí unos ejemplos: Seguros en las puertas, puertas con combinación, doble puerta, etc. Puertas electrónicas, con tarjetas, digitación de código, con alarma silenciosa, etc. Puertas con sistema biométrico basados en la voz, retina, huella digital, etc. Acceso controlado con fotocheks, guardias de seguridad, etc. Escoltas para visitas. Omisión de letreros que indiquen las zonas del centro de procesamiento de datos. Llaves en los terminales, etc. c) Controles del ambiente: Detectan peligros dentro del centro de cómputo, ejemplos: Detectores de agua. Extintores de mano. Alarmas manuales. Detectores de humo. Sistemas para apagar incendios, de Halón, de Agua Locación estratégica 3er, 4to, 5to o 6to piso. Inspecciones regulares de medidas contra incendios. Uso adecuado de fusibles, relays, etc. UPS o fuente de alimentación continua. Swicth de apagado de emergencia. d) Labor de auditoría: Consiste en la identificación del ambiente de procesamiento de información para tener conocimiento general de este y para entender las necesidades de seguridad, el auditor de sistemas revisa y evalúa los siguientes aspectos: • Revisión de los diagramas de red: estos diagramas muestran los puntos de conexión entre computadoras, terminales y equipos periféricos como módem, Hubs, Routhers, etc. Esta información es importante porque se pueden enlazar las direcciones físicas con los accesos lógicos de terminales, actualmente existe software especializado de administración de redes que proveen esta información.• Revisión de las rutas de acceso: Las rutas de acceso son caminos de lógicos de acceso a información computarizada, estas empiezan generalmente con un terminal y terminan con los datos accesados. A lo largo de este camino existen componentes de hardware y software. Conocer esta ruta es importante porque permite al auditor de sistemas, determinar puntos de seguridad física y lógica, la secuencia típica de estos caminos lógicos es: 1. Terminales: Son usados por el usuario final para identificarse, estos deben tener restricción física de su uso y la identificación de los usuarios o "login" de accesos debe ser controlada con los "passwords" o claves. 2. El software de telecomunicaciones: El software de telecomunicaciones es usado para dar o limitar el acceso a aplicaciones o datos específicos. 3. El software de procesamiento de transacciones: Este software utiliza la identificación del usuario realizada en los terminales (User-Id) y asigna niveles y posibilidades de transacción (añadir, modificar, eliminar, obtener reportes, etc.) en una aplicación determinada basado en archivos o tablas de usuario definidas y solo

Page 9: Conceptos de Auditoría de Sistemas de la Información

disponibles al administrador de seguridad. 4. El software de aplicación: El software de aplicación tiene la lógica del procesamiento de los datos definida, esta lógica debe permanecer según las necesidades determinadas por la gerencia, para esto se debe proteger el acceso a los programas que regulan la lógica de estos procesos. 5. El software de administración de base de datos: Por el medio del cual se accesa directamente a la información, este debe tener la definición de los campos de datos y su ejecución debe estar restringido al personal de administración de la base de datos. • Inspección de las facilidades del procesamiento de datos: Esta inspección sirve para entender los controles físicos para el personal, visitantes, controles de seguridad del ambiente como extintores, detectores de humo, protectores de polvo, control de temperatura, fuentes alternativas de energía. Esta revisión debe ser hecha en el centro de cómputo, área de programadores, librería de cintas o cassettes, almacenes de útiles, etc. • Entrevistas con personal de sistemas: Las entrevistas claves, generalmente son con el administrador de la Red, el gerente de sistemas, quienes proveerán de información sobre el control y mantenimiento de los componentes de las rutas de acceso. • Entrevista con el usuario final: Se entrevista una muestra de usuarios finales para conocer las políticas respecto a la confidencialidad de los datos que trabajan. • Revisión de políticas y procedimientos. Consiste en revisar las políticas y procedimientos para verificar si son adecuados y ofrecen la seguridad apropiada, para esto el auditor debe verificar: Políticas de acceso físico Políticas de acceso lógico Entrenamiento formal sobre precauciones de seguridad. Políticas sobre uso de internet

Recuperación de desastres. El objetivo de esta revisión es analizar y evaluar las políticas y procedimientos relacionados a la planificación de contingencia para asegurar la capacidad del ente para responder eficazmente ante desastres y otras situaciones de emergencia. Para conseguirlo, el equipo de auditoría realiza lo siguiente: a) Revisión del plan de contingencia Primero es necesario obtener una copia del plan o manual de recuperación de desastre y hacer lo siguiente: Realizar un muestreo de las copias distribuidas del manual y verificar que están actualizadas. Evaluar la eficacia de los procedimientos documentados para iniciar el esfuerzo de recuperación de desastre, planteándose preguntas como las siguientes: 1) ¿Identifica el plan los puntos de reunión del comité de administración de desastre o del equipo de administración de emergencia para que se reúnan y decidan si debe iniciarse la recuperación de desastre? 2) ¿Son adecuados los procedimientos documentados para una recuperación exitosa? 3) ¿Trata el plan de desastres de diverso grado? Revisar la identificación y el soporte planificado de las aplicaciones críticas, incluyendo sistemas basados en Pc o desarrollados por usuarios finales para esto: 1) Determine si se han revisado todas las aplicaciones en busca de su nivel de tolerancia en caso de un desastre. 2) Determine si se han identificado todas las aplicaciones críticas, (incluyendo aplicaciones en PC). 3) Determine si en el "Hot Site" tiene las versiones correctas de sistema operativo. 

Page 10: Conceptos de Auditoría de Sistemas de la Información

Revisar la corrección e integridad de la lista de personal de recuperación de desastre, contactos de emergencia con el "Hot Site", contactos de emergencia con proveedores, etc. 1) En la practica se sugiere realizar llamadas a una muestra de la gente indicada y verifique que los números de teléfono y domicilios son correctos y que posean copia del manual de recuperación de desastre. 2) Entrevistar al personal para obtener una comprensión de las responsabilidades que tienen asignadas en una situación de desastre. Evaluar procedimientos para actualizar el manual. ¿Se aplican y distribuyen las actualizaciones de manera oportuna?. ¿Existen responsabilidades específicas respecto a mantener el manual actualizado?. Determinar si los elementos necesarios para la reconstrucción de la instalación de procesamiento de información se almacenan en otra sede (planos, inventario de hardware, diagramas de cableado, etc. b) Evaluación del almacenamiento en sede alternativa. Debe evaluarse la instalación de almacenamiento en sede alternativa para asegurarse de la presencia, sincronización y actualización de los medios magnéticos y documentación críticas. Ello incluirá archivos de datos, software de aplicaciones, documentación de aplicaciones, software de sistemas, documentación de sistemas, documentación de operaciones, insumos necesarios, formularios especiales, y una copia del plan de contingencia. Para verificar las condiciones que se mencionaron, el auditor de sistemas debe realizar un examen detallado de inventario. Ese inventario debe incluir poner a prueba los nombres de correctos de los archivos, identificación de cintas o cassettes, ubicación correcta en los depósitos de las cintas o cassettes así como una revisión de la documentación y verificar que corresponda con documentación actualizada. c) Revisión de cobertura de seguros. Es esencial que la cobertura de seguros refleje el costo actual de la recuperación, por ende debe revisarse la adecuación de la cobertura de seguros para daños a medios magnéticos, interrupción de negocio, reemplazo del equipo, y procesamiento de contingencia. A fin de determinar la adecuación, obtenga una copia de las pólizas de seguros de la empresa y evalúe la adecuación de la cobertura. d) Conocimientos de los procedimientos de recuperación por parte del personal. El auditor de sistemas debe entrevistar al personal clave que se necesita para la recuperación con éxito de las operaciones del negocio. Todo el personal clave debe tener una comprensión de las responsabilidades asignadas, así como documentación detallada y actualizada que describe sus tareas. e) Seguridad física en la instalación en sede alternativa. Debe evaluarse la seguridad física en la instalación alternativa, para asegurarse de que tiene controles de acceso como ambientes apropiados, tales controles incluyen la capacidad de limitar el acceso solo a los usuarios autorizados de la instalación, piso sobre elevado, controles de humedad, controles de temperatura, circuitos especializados, fuente ininterrumpida de energía, dispositivos de detección de agua, detectores de humo y un sistema adecuado de extinción de incendios. El auditor de sistemas debe hacer un examen del equipo en busca de etiquetas de inspección y calibración vigentes. f) Examen del contrato de procesamiento alternativo. Debe revisarse el contrato con el proveedor de la instalación de procesamiento

Page 11: Conceptos de Auditoría de Sistemas de la Información

alternativo, teniendo en cuenta lo siguiente: Que el proveedor sea confiable y de prestigio. Que el proveedor ponga por escrito todo lo que promete. Asegurarse de que el contrato es claro y es comprensible para un Juez. Asegurarse de que se puede continuar trabajando con las reglas que son aplicables cuando se tenga que compartir la sede con otros suscriptores. Asegurarse que la cobertura de seguro se vincula y cubre todos o la mayoría de gastos del desastre. Prestar atención a los requerimientos de comunicaciones para la sede alternativa Sistema operativo. Consiste en revisar las políticas y procedimientos de adquisición y mantenimiento de software de sistemas operativos. Para lo cual el auditor revisa lo siguiente: Los procedimientos relacionados con la identificación y la selección del software del sistema.Mediante entrevistas a la gerencia, para identificar:• Los requerimientos de software. • Las fuentes potenciales de software. Análisis de costo/beneficio del software del sistema, consiste en revisar la documentación del análisis costo/beneficio y las alternativas que proponen y determinan si cada alternativa potencial fue evaluada adecuadamente. Esta documentación debe tener por lo menos: • Costo directo financiado para la compra de software. • Costo de la modificación necesaria para adaptar el software al ambiente de sistemas de información de la organización (si fuera necesario). • Los requisitos de equipo para ese software. • Los requisitos de capacitación asociados con la utilización de ese software. • Los requisitos de apoyo técnico asociado a ese software. • Análisis de las facilidades del software para cumplir con los requisitos de procesamiento de información. • Análisis de la capacidad del software para cumplir con los requisitos de seguridad. • Análisis de la capacidad del software para cumplir con los requisitos técnicos de la organización. Instalación del software del sistema, Consiste en revisar el plan o procedimiento para la prueba del sistema, determinar si las pruebas se realizaron de acuerdo a ese plan y en forma exitosa, de no ser así investigar si todos los problemas se evaluaron y resolvieron antes de la instalación del software. Mantenimiento del software del sistema, consiste en revisar la documentación relacionada con el mantenimiento o upgrade del software y determinar lo siguiente: • Si los estándares de instalación están de acuerdo con la documentación del mantenimiento del software. • Si los cambios en el software del sistema están debidamente explicados en cuanto a su motivo y aprobación. • Si existen pruebas de que el cambio realmente se hizo. • Si el personal responsable del cambio del software del sistema no pertenece al grupo de programadores. • Si se proporciona a los usuarios del sistema documentación sobre los cambios que se realizarán. • Si existe un registro o una bitácora de los cambios realizados al sistema. • Si existen los controles suficientes para asegurarse que los operadores no podrán hacer cambio al sistema sin asesoría del grupo responsable de la instalación de estos cambios. 

Page 12: Conceptos de Auditoría de Sistemas de la Información

Seguridad del software del sistema, consiste en revisar los procedimientos para el acceso al software del sistema y a su documentación, para esto entrevistarse con la gerencia de o personal de adecuado para identificar los procedimientos de seguridad para restringir el acceso al software del sistema así como el personal que tiene acceso al software del sistema y a su documentación Revisión del ciclo de vida del desarrollo de Aplicaciones, adquisición o mantenimiento. El Objetivo de esta revisión es identificar, analizar y evaluar los requerimientos del usuario, riesgos, exposiciones a ellos y los controles en aplicaciones específicas durante la fase de desarrollo, adquisición o mantenimiento de las aplicaciones. Las tareas del auditor de sistemas incluyen las siguientes: • Determinar los componentes, objetivos y requerimientos principales de los usuarios de la aplicación e identificar las áreas que exigen controles al hacer entrevistas con miembros claves del proyecto. • Determinar y clasificar los principales riesgos y exposición a riesgos de la aplicación, para permitir controles por medio de discusiones con miembros del equipo del proyecto. • Identificar los controles para minimizar los riesgos y exposiciones a riesgos de la aplicación por referencia a fuentes confiables y por medio de discusiones con miembros del equipo del proyecto. • Asesorar al equipo del proyecto respecto del diseño de la aplicación y la implantación de controles al evaluar los controles disponibles y al participar en discusiones con miembros del equipo del proyecto. • Monitorear el proceso de desarrollo, mantenimiento o adquisición de las aplicaciones para asegurarse de que se implantan los controles, se satisfacen los requerimientos de los usuarios y se sigue la metodología mas adecuada en cada caso, esto permite asegurarse que las aplicaciones son eficaces y eficientes, al realizar reuniones periódicas con miembros del equipo del proyecto y al hacer exámenes de la documentación y los productos en sus diversas etapas. a. Revisión de desarrollo de sistemas. Cuando se revisa el proceso de desarrollo de sistemas, se espera que el auditor de sistemas obtenga la documentación necesaria y disponible de las diversas fases así como que asista a las reuniones del equipo del proyecto ofreciendo asesoramiento durante todo el proyecto de desarrollo de sistemas. También, el auditor de sistemas debe evaluar la capacidad de los equipos del proyecto para producir los productos claves a entregar para las fechas prometidas. Durante todo el proceso de desarrollo de sistemas el auditor de sistemas debe analizar los riesgos asociados y las exposiciones que son inherentes en cada fase y asegurarse de que los mecanismos de control adecuados están vigentes para minimizar esos riesgos y una forma que sea eficaz en cuanto a costos. Debe utilizarse el tino para recomendar controles que no cuesten mas administrarlos que los riesgos que deben minimizar. 1. Estudio de Factibilidad. El auditor de sistemas debe revisar la documentación producida en esta fase y corroborar su razonabilidad. Debe verificarse todas las justificaciones de costo / beneficio junto con el cronograma de cuando se anticipaba que se realizarían los beneficios. Identificar si la necesidad del negocio que se utiliza para justificar el sistema, realmente existe, y hasta que punto existe la necesidad. Determinar si puede obtenerse una solución con los sistemas vigentes. De no ser así corroborar la razonabilidad de la evaluación de las soluciones alternativas. Determinar si finalmente se eligió la solución mas apropiada. 

Page 13: Conceptos de Auditoría de Sistemas de la Información

2. Definición de requerimientos. El auditor de sistemas debe obtener el documento de definición de requerimientos detallados y verificar su exactitud por medio de entrevistas con los departamentos usuarios que lo solicitan. Identificar los miembros clave del equipo del proyecto y verifique que todos los grupos usuarios afectados tienen una adecuada representación. Verificar que la gerencia aprobó la iniciación del proyecto y el costo del proyecto. Revisar los diagramas de flujo de datos y el diseño conceptual para asegurarse de que se trata las necesidades del usuario. Revisar el diseño conceptual por el nivel adecuado del control. Revisar las propuestas dadas a los proveedores para asegurarse de que cubren el verdadero alcance del proyecto y los requerimientos de los usuarios. Determinar si esta aplicación es apropiada para el uso de una rutina de auditoría incorporada. De ser así incorpore la rutina en el diseño conceptual del sistema. 3. Fase de diseño detallado y programación. Revisar los flujogramas del sistema para observar el seguimiento del diseño general, si se observan cambios, verifiquen que fueron dadas sus aprobaciones apropiadas para los cambios y que los cambios han sido discutidos y aprobados por los grupos de usuarios afectados. Revisar los controles de entrada y salida diseñados dentro del sistema, para comprobar que sean apropiados. Entrevistar a los usuarios clave del sistema para comprobar su comprensión de cómo operará el sistema y evaluar su nivel de entrada en el diseño de los formatos de pantalla y los informes de salida. Evaluar los rastros de auditoría que se programan, en el sistema para rastrear la información fuente clave. Verificar la corrección de los cálculos de los procesos claves. Verificar que el sistema puede identificar y procesar correctamente datos erróneos. Verificar que los procesos de prueba de los programas sean desarrollados durante esta fase. Verificar que se hicieron las correcciones recomendadas para los errores de programación y que las pistas de auditoría recomendados o los módulos de auditoría fueron incorporadas en los programas correctos. 4. Fase de Prueba. La fase de prueba es crucial para determinar que los requerimientos han sido satisfechos y que el sistema se comporta como se anticipaba. Por ende el auditor de sistemas debe participar en forma intensa y revisar la fase. Examinar el plan de prueba, para verificar que sea completo con la evidencia indicada de la participación del usuario, tal como escenario de situaciones de prueba creados por los usuarios y/o aprobación escrita de aceptación de los resultados. Revisar todos los resultados de pruebas en paralelo para comprobar su exactitud. Verificar que la seguridad este funcionando adecuadamente, probando intentos de acceso no permitidos. Examinar comprobando la precisión de los mensajes de error para reconocer los datos erróneos y la resolución de estos errores. 5. Implantación. Esta fase se inicia solo después de una exitosa fase de prueba. Debe tenerse precaución al transferir un nuevo sistema a situación de producción. El auditor de sistemas debe verificar que las aprobaciones necesarias existen antes de implementar el nuevo sistema. Revisar los procedimientos programados que se utilizan para hacer el cronograma y correr el sistema junto con los parámetros del sistema que se utilizan al ejecutar el cronograma de actividades. Revisar la documentación del sistema a fin de asegurarse de que esta completo y que todas las actualizaciones posteriores a la fase de prueba han sido incorporadas. Verificar toda la conversión de datos para asegurarse de que es correcta y esta completa antes de implementar en producción al nuevo sistema. 6. Fase de Post-Implantación. Luego que el nuevo sistema ha estado operando, por lo

Page 14: Conceptos de Auditoría de Sistemas de la Información

menos seis meses, el auditor de sistemas independiente de las otras fases de la vida del sistema, revisará lo siguiente: Determinar si el programa ha logrado los requerimientos de los objetivos, se debe prestar especial atención a la utilización y la satisfacción de los usuarios finales, ellos constituirán un indicador excelente. Verificar que se miden, analizan e informan adecuadamente a la gerencia los beneficios identificados con el estudio de factibilidad. Revisar las solicitudes de cambios a los programas que se han realizado, para evaluar el tipo de cambios que se exigen al sistema, el tipo de cambios puede indicar problemas de diseño, programación o interpretación de los requerimientos de usuario. b. Revisión de aplicaciones de software comprado. Para tomar la decisión de comprar el producto de un vendedor en lugar de crear una solución interna, debe existir en el estudio de factibilidad, documentación sobre la decisión de "hacer vs. Comprar", esta documentación debe ser analizada para determinar si la decisión de comprar fue apropiada. y considerar lo siguiente respecto a los proveedores: Estabilidad financiera. Número de años de experiencia ofreciendo el producto. Número de sedes de clientes que usen el servicio. Compromiso de servicio. Compromiso de desarrollar o mejorar el producto. Nivel de satisfacción de otros clientes, si es posible visitar sus instalaciones y ver como se utiliza en un ambiente real de producción. Compromiso para la provisión de entrenamiento, documentación y upgrades a los productos. Aceptación de pruebas de productos antes de la compra. Adicionalmente el auditor de sistemas deberá revisar el contrato en los siguientes puntos: Descripción específica de los productos a entregar. Compromisos sobre fechas de entrega de los productos. Compromiso de entrega de los upgrades y entrenamiento. Entregas de licencias y permisos para copiar el software para utilizarlo en esfuerzos de recuperación de desastres. c. Revisión del Mantenimiento de aplicaciones. El objetivo de esta revisión es identificar, analizar y evaluar normas, tareas, procedimientos y controles en el proceso de control de cambios a los programas. Las tareas de auditoría en este aspecto son: • Evaluar los estándares y procedimientos para cambios a programas para asegurar su adecuación por medio de examen de la correspondiente documentación, discusiones con personal clave y observaciones. • Probar los procedimientos de control de cambios para asegurar que se explican según se describe en los estándares por medio de discusión y examen de los registros respaldatorios. • Evaluar el proceso de control de cambios para determinar que los objetivos de control fueron cumplidos al analizar los resultados de pruebas y otra evidencia de auditoría. • Determinar la adecuación de la seguridad de la biblioteca de producción para asegurar la integridad de los recursos de producción al identificar y probar controles existentes. Desde que un sistema es puesto en funcionamiento, se practican cambios, los cuales deben tener en cuenta una metodología para realizar y registrar estos cambios, esta metodología debe incluir: • Procedimientos para autorización de los cambios a los programas de producción. Documentación de programas, las solicitudes de cambio deben ser archivadas con la documentación del programa afectado y debe incluirse la documentación de la razón del cambio (análisis del costo / beneficio) si es necesario. 

Page 15: Conceptos de Auditoría de Sistemas de la Información

• Rastros de auditoría de cambios, siempre debe llevarse un rastro de auditoría de todos los cambios o manejo de versiones de los programas, esto generalmente lo posee el software de manejo de bibliotecas. • Concordancia del código fuente y el ejecutable, se refiere a que si un programa fuente es compilado nuevamente, el programa ejecutable resultante es igual al programa que esta en producción. • Controles de acceso a los programas de producción, debe existir un riguroso control de acceso a los programas de producción, estos controles generalmente son manejados por el software de acceso al mainframe.   Revisión de controles de aplicaciones. El objetivo de esta revisión es analizar y evaluar la eficacia de los controles de los sistemas o aplicaciones ya existentes, estos controles deben asegurar que solo se ingresan y actualizan datos completos, exactos y válidos en un sistema, que el procesamiento de estos datos es correcto, que los resultados del procesamiento cumplen las expectativas; y que los datos se mantienen seguros. Quienes diseñan los sistemas ubican controles en el ingreso de datos o input, en el procesamiento y en el output del sistema. 1. Procedimientos de control de input. Controles de acceso: Con esto se asegura que los datos ingresados al sistema son los autorizados y las responsabilidades sobre el cambio de datos esta definida. • Control de secuencia: Los registros de las transacciones llevan un número que los identifica y son consecutivos, por lo que no pueden haber duplicidades ni intervalos vacíos de secuencia. • Control de límite: Se verifican los límites de valores que puede asumir una variable de entrada y que se rechazara o advertirá en caso no cumpla con los límites establecidos. • Control de Rango: Es similar al anterior, pero se trata de un par de límites. • Control de paridad: Se utiliza para verificar una transmisión de datos (que puede ser la fuente para el ingreso de datos a otro sistema). • Control de validez: Consiste en considerar como válidos aquellos campos codificados con valores predeterminados. • Control de razonabilidad: Los datos ingresados se comparan con límites de razonabilidad o de ocurrencia de datos. • Búsquedas en tablas: Se valida un campo con el contenido de una tabla de datos, por ejemplo una tabla de códigos de países y los nombres de países se utiliza para validar el campo país de una pantalla de ingreso de datos. • Control de existencia: Es un control que sirve para validar un dato que ingresa al sistema y además asegura que el proceso sea según un orden establecido, por ejemplo: la autorización electrónica de una orden de trabajo, exige primero que esta haya sido ingresada y luego sea marcada por otra persona como autorizada. • Verificación de ingreso por teclado: Consiste en redigitar el ingreso de datos por otra persona sobre el archivo digitado primero por otra persona. • Dígito de control: Consiste en agregar al dato ingresado un dígito, el que se calcula matemáticamente por un algoritmo sobre los dígitos del dato ingresado, los más comunes son el módulo 10 o módulo 11. • Control de integridad: consiste en que un campo siempre debe contener datos, no puede estar vacío,etc. 2. Procedimientos de Control de procesos. 

Page 16: Conceptos de Auditoría de Sistemas de la Información

• Recálculos manuales: Consiste en recalcular manualmente una muestra de las transacciones a fin de asegurar que el procesamiento esta realizando la tarea esperada. • Edición: Consiste en comprobar que el input de datos es correcto, aquí se interpreta el paso de input como parte del proceso. • Verificación de razonabilidad de cifras calculadas: Consiste en probar la razonabilidad de los resultados de las transacciones para asegurarse de la adecuación a criterios predeterminados. • Verificación de la cantidad de registros procesados. • Manejo de archivo de errores para su posterior investigación. • Verificación por rangos de fechas o períodos. • Aprobación electrónica: Para que un determinado registro pase de un estado a otro por la autorización de un usuario diferente al que genero el registro. • Archivos de seguimiento: que permiten identificar el status de una determinada operación en un momento determinado. 3. Procedimientos de Output o salida. • Resguardo de formularios negociables, sensibles o críticos: deben ser adecuadamente controlados en un listado de formularios recibidos, utilizados y dando razón de las excepciones, rechazos y mutilaciones para protergerlos de robo o daño. • Autorización de distribución: Las opciones de reporte del sistema deben estar de acuerdo con las funciones que tiene el usuario en el sistema y ser controlado por los accesos definidos en el sistema. • Estructura estándar de los formatos de los reportes: como son el número de páginas, la hora, fecha, nombre del programa que lo produce, cabeceras, etc. La auditoría de los controles de las aplicaciones tiene las siguientes tareas: 1. Examen de documentación de la aplicación: Donde se revisa principalmente los siguientes documentos actualizados de: Documentos de la metodología de desarrollo de la aplicación. Especificaciones funcionales de diseño. Cambios a los programas. Manuales de usuario. Documentación técnica de referencia. 2. Elaboración de un modelo de evaluación de riesgos para analizar los controles de la aplicación. La evaluación de riesgos puede basarse en muchos factores incluyendo: La calidad de los controles internos. Condiciones económicas. Cambios recientes al sistema contable. Tiempo transcurrido desde la ultima auditoría. Complejidad de las operaciones. Cambios recientes en los puestos clave. Bienes en riesgo Cambio de personal. Volumen de transacciones. Volumen monetario. Impacto de una falla de la aplicación. 3. Observación y prueba de los usuarios que realizan procesos. Esta observación de debe estar enfocada a revisar que existe una segregación de funciones y que esta debe mostrar que una persona no tiene capacidad de realizar mas de una de las siguientes funciones referidas al procesamiento de información: originarla, autorizarla, verificarla, y distribuirla. 4. Examen y prueba de autorizaciones y capacidades de acceso. Para esto se revisan los siguientes aspectos: Tablas de control de acceso. Informes de actividades. Informes de violaciones. 5. Selección del tipo de técnica de auditoría asistida por computador y pruebas de auditoría con ayuda del computador. consiste en determinar que metodología se utilizara para probar los datos o procesos del sistema, generalmente se usa lo siguiente: 

Page 17: Conceptos de Auditoría de Sistemas de la Información

• Software de auditoría generalizado. Módulos de auditoría incorporados. • Transferencia de información (downloading) a una Pc para tratarla con software de análisis. • Uso de sistemas expertos. Con la ayuda de este software o técnica asistida por computador, se realizan pruebas de auditoría, estas pruebas incluyen por ejemplo: • Muestreo estadístico, con el cual se selecciona la muestra de transacciones o del universo de datos que serán probados. • Pruebas de rangos, se usan para probar que los datos en prueba son válidos porque están en un rango de valores adecuado. • Pruebas de excepciones, se usan para verificar que el procesamiento de las transacciones es correcto que no existen excepciones en los datos con los que trabaja el sistema.   


FORMATO INFORME AUDITORÍA DE GESTIÓN INFORMACIÓN …

FORMATO INFORME AUDITORÍA DE GESTIÓN INFORMACIÓN …

Documents
Preliminar Final 1. INFORMACIÓN GENERAL Auditoría

Preliminar Final 1. INFORMACIÓN GENERAL Auditoría

Documents
Auditoría de seguridad de sistemas de información

Auditoría de seguridad de sistemas de información

Documents
Auditoría integrada de Información + Conocimiento ... · Auditoría integrada de Información + Conocimiento: aplicación en un caso de estudio ... González Guitián, M.V., Zayas

Auditoría integrada de Información + Conocimiento ... · Auditoría integrada de Información + Conocimiento: aplicación en un caso de estudio ... González Guitián, M.V., Zayas

Documents
Semana 9 auditoría de sistemas de información

Semana 9 auditoría de sistemas de información

Documents
Conceptos básicos de sistema de información

Conceptos básicos de sistema de información

Technology
Auditoría de la información

Auditoría de la información

Documents
Información de auditoría y sociedades dependientes ... - REE

Información de auditoría y sociedades dependientes ... - REE

Documents
Información y Conceptos básicos

Información y Conceptos básicos

Documents
Conceptos generales - Auditoría y evaluación de sistemas

Conceptos generales - Auditoría y evaluación de sistemas

Education
Conceptos de Auditoría de Sistemas

Conceptos de Auditoría de Sistemas

Documents
Auditoría de Sistemas de Información

Auditoría de Sistemas de Información

Documents
Auditoría de Tecnología de Información

Auditoría de Tecnología de Información

Documents
AUDITORÍA DE SISTEMAS. CAPÍTULO 2 AUDITORÍA DE SISTEMAS DE INFORMACIÓN

AUDITORÍA DE SISTEMAS. CAPÍTULO 2 AUDITORÍA DE SISTEMAS DE INFORMACIÓN

Documents
DAC - udd.cl³n-de... · Auditoría de un Contrato. a) Conceptos de project management b) La importancia de la información y trazabilidad de un contrato. c) Objetivos de la auditoría

DAC - udd.cl³n-de... · Auditoría de un Contrato. a) Conceptos de project management b) La importancia de la información y trazabilidad de un contrato. c) Objetivos de la auditoría

Documents
Conceptos Básicos de Auditoría Informática - JRVARGAS · PDF fileLa información puede ser clasificada en cuatro clases: Información estratégica, Información para el control

Conceptos Básicos de Auditoría Informática - JRVARGAS · PDF fileLa información puede ser clasificada en cuatro clases: Información estratégica, Información para el control

Documents
Conceptos generales De Información

Conceptos generales De Información

Education
Información no financiera y auditoría

Información no financiera y auditoría

Documents
CAPITULO I.- AUDITORÍA INTERNA - CONCEPTOS 25 08 2009

CAPITULO I.- AUDITORÍA INTERNA - CONCEPTOS 25 08 2009

Documents
Conceptos de información-1

Conceptos de información-1

Education
CONCEPTOS BASICOS DE LA INFORMACIÓN

CONCEPTOS BASICOS DE LA INFORMACIÓN

Education
Auditoría del recurso de información fuentes documentales

Auditoría del recurso de información fuentes documentales

Documents
Auditoría y Sistemas de la Información

Auditoría y Sistemas de la Información

Documents
Auditoría de información y Mapa documental

Auditoría de información y Mapa documental

Documents
Conceptos básicos Sistemas de información

Conceptos básicos Sistemas de información

Documents
Curso: Auditoría de sistemas: 01 Conceptos, estándares, ética

Curso: Auditoría de sistemas: 01 Conceptos, estándares, ética

Technology
CONCEPTOS BÁSICOS DE AUDITORÍA

CONCEPTOS BÁSICOS DE AUDITORÍA

Documents
MENÚ INFORMACIÓN BIBLIOGRAFÍA CONCEPTOS INFORMÁTICA

MENÚ INFORMACIÓN BIBLIOGRAFÍA CONCEPTOS INFORMÁTICA

Documents
CONCEPTOS GRAMÁTICAS Información recopilada y …

CONCEPTOS GRAMÁTICAS Información recopilada y …

Documents
auditoría de sistemas de información la auditoría de sistemas como

auditoría de sistemas de información la auditoría de sistemas como

Documents