UNEG-AS 2012Tema 10: Instrumentos y Técnicas aplicables a una auditoría

de Sistemas Computacionales

Universidad Nacional Experimental de Guayana

Proyecto de Carrera: Ingeniería Informática

Cátedra: Auditoría y Evaluación de Sistemas

Carillo SergioFuentes LuisRomero Johana

Ponentes:Profesor: Carlos Guevara

CONTENIDO

• ¿Qué es la auditoria de sistemas computacionales?

• Propósito• Instrumentos de Recopilación de

información• Técnicas de evaluación• Técnicas especiales de evaluación

OBJETIVOS DEL TEMA

Objetivo general

Conocer los diferentes instrumentos y técnicas aplicables para llevar a cabo auditoría de sistemas computacionales

Objetivos específicos

• Identificar los instrumentos de recopilación de información para realizar la auditoría

• Estudiar las técnicas de evaluación• Describir las técnicas especiales de la auditoría de sistemas• Conocer la aplicación de las técnicas especiales de la auditoría

de sistemas

Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e información utilizados en una empresa, sean individuales, compartidos y/o de redes, así como a sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás componentes.

Evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos, el procesamiento adecuado de la información y la emisión oportuna de sus resultados en la institución

Es un canal de comunicación oral o escrita Es un canal de comunicación oral o escrita que se establece entre el auditor y la que se establece entre el auditor y la organización con el fin de obtener una organización con el fin de obtener una información o una opinión. Las preguntas información o una opinión. Las preguntas para una entrevista pueden ser: Abiertas, para una entrevista pueden ser: Abiertas, Cerradas, de Sondeo, de Cierre y Mixtas.Cerradas, de Sondeo, de Cierre y Mixtas.

Es la Es la recopilación recopilación

de datos de datos mediante mediante preguntas preguntas

impresas en impresas en la que el la que el

encuestado encuestado responde responde

mediante su mediante su criterio.criterio.

Es una técnica Es una técnica destinada a destinada a

obtener datos de obtener datos de varias personas varias personas cuyas opiniones cuyas opiniones

impersonales impersonales interesan al interesan al

auditor. Para auditor. Para ello, a diferencia ello, a diferencia de la entrevista, de la entrevista,

se utiliza un se utiliza un listado de listado de preguntas preguntas

escritas que se escritas que se entregan a los entregan a los

sujetos, a fin de sujetos, a fin de que las que las

contesten contesten igualmente por igualmente por

escritoescrito

Es la acción de observar y mirar Es la acción de observar y mirar detenidamente. Es muy utilizada por detenidamente. Es muy utilizada por los auditores ya que les permite los auditores ya que les permite recolectar directamente la recolectar directamente la información necesaria. La acción de información necesaria. La acción de observar es el hecho de examinar, observar es el hecho de examinar, analizar, advertir, o estudiar algo en analizar, advertir, o estudiar algo en este caso el auditor observa todo lo este caso el auditor observa todo lo relacionado con los sistemas de una relacionado con los sistemas de una empresa.empresa.

Consiste en hacer un recuento físico de lo Consiste en hacer un recuento físico de lo que se esta auditando a fin de saber la que se esta auditando a fin de saber la cantidad existente de algún producto en cantidad existente de algún producto en una fecha determinada y compararla con la una fecha determinada y compararla con la que debía haber según los documentos en que debía haber según los documentos en esa misma fecha. Compara las cantidades esa misma fecha. Compara las cantidades reales existentes con las que beberían reales existentes con las que beberían haber para ver si son iguales o no.haber para ver si son iguales o no.

Para emitir una opinión fundamentada sobre los Para emitir una opinión fundamentada sobre los funcionamientos de las operaciones un auditor funcionamientos de las operaciones un auditor debe tener información segura pero se le hace debe tener información segura pero se le hace imposible e inoperante revisar todas las imposible e inoperante revisar todas las transacciones, razón por la cual debe tomar una transacciones, razón por la cual debe tomar una muestra representativa de cada una de las muestra representativa de cada una de las labores de la población auditada, el cual consiste labores de la población auditada, el cual consiste en una muestra representativa del total de la en una muestra representativa del total de la población.población.

Es la observación dedicada y constante que se hace conforme a un plan predeterminado, con

el propósito de analizar sus posibles cambios de conducta, dentro de su propio ambiente o

en otro ajeno, e inferir un conocimiento. Entre los principales métodos de experimentación están:

Experimentos exploratorios, Experimentos confirmatorios y

Experimentos cruciales.

ExamenEs el análisis, prueba o demostración al que se somete algún fenómeno o hecho relacionado con la gestión administrativa de un centro de cómputo, de sus componentes o de la operación del sistema procesados de información.

InspecciónLa inspección en sistemas computacionales es Sinónimo de supervisión, ya que trata de examinar la forma en que se desarrollan las actividades de un área de sistemas computacionales.

Confirmación Su fin es confirmar la oportunidad, revisar

las licencias de software instalados en los sistemas computacionales y confirmar la confiabilidad de las protecciones, contraseñas y demás medidas de seguridad establecidas para el acceso a la información y a los sistemas de la empresa.

Será para avalar y comprobar que los procesamientos sean similares o iguales y que los resultados sean confiables, verídicos, oportunos y que satisfagan las necesidades de procesamiento del área de cómputo de la empresa.

Comparación

Es utilizada para evaluar el desarrollo de las operaciones y funcionamiento del sistema, revisar el uso y registro adecuado de los documentos del software, verificar la existencia y actualización de registros formales para la administración y control de operación del sistema.

Revisión Documental

Es un documento de carácter formal que con su uso se pueden evidenciar pruebas fehacientes, circunstanciales, probatorias para comprobar desviaciones en el área auditada.

Acta Testimonial

A través de esta es posible recopilar una gran cantidad de información relacionada con las actividades realizadas en esta área de informática

Matriz de Evaluación

Descripción Criterios de Evaluación

Excelente Muy Bueno

Bueno Regular Deficiente

Mediante la misma se pueden estudiar las influencias que afectan el comportamiento del área de sistemas computacionales de una empresa, tanto las que recibe de su ambiente interior como exterior.

Matriz Foda

Guías de evaluaciónDocumento formal que indica el procedimiento de evaluación. También se anotan la forma en la que cada uno de los puntos serán evaluados y como deben ser analizados. La utilidad de este documento estará determinada por la calidad, contenido y profundidad de los aspectos que abarque. Ejemplo:

Lugar y nombre de la

empresa que realiza la

auditoria

Nombre de la empresa y

área de sistemas

auditada

Fecha Hoja

DD MM AA -- de --

Referenci

a

Actividad

que será

evaluada

Procedimie

ntos de

auditoria

Herramien

tas que

serán

utilizadas

Observaciones

Ponderación

Da un peso específico a cada una de las partes que serán evaluadas. Busca equilibrar las posibles descompensaciones que existen entra las áreas o sistemas computacionales.

Modelos de simulación

Se utiliza para el análisis y diseño de sistemas, pero también es útil para auditoria de sistemas computacionales. Mediante el uso de un modelo, conceptual o físico, se simula el comportamiento de un sistema computacional, de un programa, etc., que tenga que ser revisado.

EvaluaciónEsta técnica se aplica fácilmente mediante los siguientes pasos y requiere de poco trabajo:

Diagramas del círculo de evaluación

Herramienta de apoyo para la evaluación de los sistemas computacionales. Para valorar visualmente:

• El comportamiento de los sistemas que están siendo auditados.

• Su cumplimiento

• Sus limitaciones.

Durante las diferentes etapas: Estudio Preliminar, Análisis del Sistema, Diseño Conceptual, Diseño Detallado, Programación, Pruebas, Implantación.

Lista de verificación o lista de chequeo

Instrumento que contiene criterios o indicadores a partir de los cuales se miden y evalúan las características del objeto, comprobando si cumple con los atributos establecidos.

Análisis de la diagramación de sistemas

Unas de las principales herramientas para el análisis y diseño de los sistemas computacionales. El analista puede representar:

• Los flujos de información, actividades, operaciones, procesos y otros aspectos que intervienen en el desarrollo de los propios sistemas.

El auditor puede utilizar esta herramienta para el diseño de sistemas de diferentes formas en una auditoria de sistemas, de acuerdo con su experiencia, conocimientos y habilidades.

• Solicitar los diagramas del sistema.

• Analizar el diagrama del sistema.

• Elaborar un diagrama del sistema.

• Verificar la documentación de los sistemas a través de sus diagramas.

• Modelos de Sistemas

Diagrama de seguimiento de una auditoria de sistemas

computacionalesEsta herramienta informática se aplica mediante un diagrama descriptivo del sistema, de tipo secuencial descendente, con sangrías significativas de izquierda a derecha. Se usa tanto para la gestión informática, para la seguridad del sistema, para los componentes del sistema o para cualquier otro aspecto informático en evaluación.

Programas para revisión por computadora

Esta técnica es de las mas utilizadas en cualquier auditoria de sistemas computacionales, debido a que permite revisar, desde la misma computadora y mediante un programa especifico, el funcionamiento del sistema, de una base de datos, de un programa en especial o de alguna aplicación de interés.