Economía y Empresa

Sistema de información IV. Resumen Segunda parte

Compartir 0 Me sirvió 0 No me sirvió

¿Qué significa planear la auditoria?

Dentro de la auditoria en general, la planeación es uno de los pasos más importantes para garantizar el éxito de la misma.

La definición de los objetivos perseguidos en la auditoria informática debe preceder a la elección de los medios y las acciones, si se pretende evitar el predominio de estos últimos.

La AI es una excepción y debe ser planificada en todos sus detalles para poder dimensionar el tamaño, características de área dentro de la empresa u organismos a auditar, sus sistemas, su organización y equipo. Con esos datos se podrá determinar el número de características del personal de auditoria, las herramientas necesarias, el tiempo, costo, como así también la correcta definición de los alcances de la AI, para en cao de ser necesario poder elaborar contratos de servicios externos.

Para lograr una buena planeación es conveniente primero obtener información general sobre la organización y sobre la función informática a evaluar. Para ello es preciso una investigación preliminar y algunas entrevistas previas, para establecer un programa de trabajo en el que se incluirá el tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la AI.

¿ Qué es la Auditoria Informática?

Es la revisión y evaluación de los controles, sistemas, procedimientos de informática, de los equipos de cómputos, su utilización, eficiencia y seguridad, de la organización que participan en el procedimiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente para una adecuada toma de decisiones.

La auditoria informática deberá comprender no solo la evaluación de los equipos de computación o de un sistema o procedimiento especifico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de la información, como la herramienta que permite obtener la información adecuada y la organización especifica (centro de cómputos, departamento de informática, gerencia de sistemas, etc.) que hará posible el uso de los equipos de cómputos.

Su campo de acción será :

Evaluación administrativa del área de informática. Evaluación de :

Los objetivos del área.
Metas, planes, políticas y procedimientos de procesos electrónicos estándar.
Organización del área y su estructura orgánica.
Funciones y niveles de autoridad y responsabilidad dl área de sistemas.
Integración de los recursos materiales y técnicos.
Costos y controles presupuestales.
Controles administrativos del área.

Evaluación de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de la información. Evaluación del:

Análisis de los sistemas y sus diferentes etapas.
Evaluación del diseño lógico del sistema.
Evaluación del desarrollo físico del sistema.
Control de proyectos.
Control de sistemas y programación
Instructivos y documentación.
Formas de implantación.
Seguridad lógica y física de los sistemas y sus datos.
Confidencialidad de los sistemas.
Controles de mantenimiento y forma de respaldo de los sistemas
Utilización de los sistemas.

Evaluación del proceso de datos y de los equipos de procedimientos.

( si son suficientes, si los seguros los cubren, si se usan o no.)

Controles de los datos fuentes y manejo de cifras de control
Control de operación
Control de salida
Control de asignación de trabajo
Control de asignación de medios de almacenamiento masivo. (de tareas que existen.
Control de los elementos de cómputos.
Orden en el centro de procedimientos.
Seguridad física y lógica.
Respaldos.

El auditor crea el procedimiento para asignar tareas y controlarlas si no existen.

¿Cuáles son las fases de desarrollo de la auditoria informática? Explicar brevemente.

Las fases de la auditoria informática son.

Toma de contacto.
Planificación de la operación
Desarrollo de la operación
Desarrollo de la auditoria
Fase de diagnostico
Presentación de las conclusiones
Formulación del plan de mejoras

Toma de contacto

Esta fase tendrá mucho más sentido si el equipo del auditor es externo a la organización, ya que en ella se recaba toda la información preliminar, y determinación de alcances.

Se deberá recabar en cuanto a la organización en general:

Organización
Organigrama
Volumen
Líneas de productos, planes
Situación en el mercado, etc.

Se deberá recabar en cuanto al área de sistemas.

La estructura del área de sistemas
Relaciones funcionales y jerárquicas
Recursos humanos: nro. , experiencia, formación, funciones
Recursos materiales: configuración del hard, herramientas de soft, sistema operativo, comunicaciones, etc.
Aplicaciones de desarrollo si las hay,
Aplicaciones en funcionamiento, documentación mantenimiento y adecuación.

En definitiva una larga lista que permitirá al auditor conocer la organización donde se ubicará para efectuar su trabajo.

Planificación de la operación

En esta etapa deberá establecer:

Definitivamente el objetivo de la AI
Las áreas que cubrirá
Personas de la organización que habrá de colaborar y en que momentos de al auditoria.
Plan de trabajo: Tareas, calendario, resultados parciales, presupuesto, equipo auditor necesario.

Desarrollo de la auditoria informática

Es el momento de ejecutar las tareas que se enuncian en la fase anterior. Es esta una fase de observación, de recogida de datos, situaciones, deficiencias, en resumen un periodo en el que:

Se efectúan las entrevistas previstas en la fase de planificación.
Se completarán todos los cuestionarios que presente el auditor
Se observaran las situaciones deficientes, no solo las aparentes, sino las que hasta ahora no hayan sido detectadas, para lo que se podrá llegar a simular situaciones límites.
Se observaran los procedimientos, tanto en los informáticos como en los usuarios.
Se ejecutaran por los tanto, todas las previsiones efectuadas en la etapa anterior con el objetivo de llegar a la siguiente etapa en condiciones de diagnosticar sobre la situación encontrada.

Fase de diagnostico

Cuando ya se hayan efectuado todos los estudios y revisiones, se debe elaborar el diagnostico. Como resultado de esta etapa han de quedar claramente definidos los puntos débiles, y por contrapunto los fuertes, los riesgos eventuales, y en primera instancia los posibles tipos de solución o mejoras de los problemas planteados.

Presentación de las conclusiones

Estas conclusiones se discutirán con las personas afectadas por lo que serán suficientemente argumentadas, probadas y argumentadas.

Momento delicado en el trato con las áreas, los auditores deben presentar estas conclusiones como un plan de mejoras en beneficio de todos mas que una reprobación de los afectados, salvo en el caso de que esto sea estrictamente necesario.

Formulación del plan de mejoras

Llegados a este último punto, la dirección conoce ya las deficiencias que el equipo auditor ha observado en su departamento informático, estas han sido discutidas. Más no basta con quedarse ahí, ahora es cuando los auditores han de demostrar su experiencia en situaciones anteriores lo suficientemente contrastada y exitosas y ser capaces de adjuntar, junto con el informe de auditoria, el plan de mejoras que permiten solventar las deficiencias encontradas.

El plan de mejoras abarcara todas las recomendaciones que vengan a intentar soslayar las deficiencias detectadas en la realización de la auditoria. Para ello se tendrán en cuenta los recursos disponibles, o al menos potencialmente disponible, por parte de la Empresa objeto de la auditoria.

Se trata de distinguir entre las medidas que es posible realizar a corto plazo, de las que lo son a mediano plazo y de las ejecutables a largo plazo.

Entre las primeras se incluirán aquellas mejoras puntuales y de fácil realización como son las mejoras en plazo, calidad, planificación o formación. Las medidas de mediano plazo necesitaran de uno a dos años para poderse concretar. Aquí pues caben las mejoras más profundas y con mayor necesidad de recursos, como la optimización de programas, o de la documentación, e incluso de algunos aspectos de diseño de los sistemas.

Para finalizar las consideraciones a largo plazo, pueden llevar cambios sustanciales en las políticas, medios o incluso estructuras del servicio de informática. Estas mejoras pueden pasar por la reconsideración de los sistemas en uso o de los medios, humanos y materiales, con que se cuenta, llegando si es preciso a una seria reconsideración del plan informático.

¿Qué es la auditoria informática operativa y la funcional?

En términos generales se puede hablar de dos tipos de AI:

Auditoria operativa: funcionalmente preocupa por actividades que implican a uno o varios servicios.
Auditoria funcional: que examina el funcionamiento de una célula perfectamente definida. Está diferenciación se basa en la extensión del ámbito de su aplicación.

Auditoria Informática Operativa

Tiene un amplio campo de aplicación. Abarca desde el análisis orgánico a los ensayos. Requiere un análisis a fondo a efectos de determinar anomalías, y proponer alternativas de solución.

Se divide en:

Auditoria de gestión: en el entorno de la AIO, controlará el ratio coste/beneficio de la aplicación examinada, vigilando aspectos relativos al planning, controles durante el desarrollo del proyecto, controles internos de control de proyectos y aspectos relativos a la calidad y utilidad de la información que el sistema facilita y la rentabilidad del proyecto.

En definitiva cubre todos aquellos aspectos definitorios de una gestión de proyectos.

Auditoria de los procedimientos dentro del entorno de la AIO, se encargara de garantizar el exacto cumplimiento de las normas y procedimientos. Podrá emitir juicios de valor sobre los procedimientos y normas auditadas. (por lo general estas normas suelen referirse al mantenimiento de las aplicaciones, normas de programación, de documentación, procedimientos de protección de datos y programas, control de accesos, etc.

Auditoria de las cifras en el entorno de una AIO, se ocupa, entre otros de dos aspecto que preocupan en el entorno de los procedimientos de datos: la fiabilidad de la información facilitada y la detección de fraudes y adulteración de datos y programas.

Auditoria informática funcional (AIF)

La AIF examina e funcionamiento de una o varias funciones de la actividad informática. Pudiendo juzgar no solo el correcto funcionamiento de la función informática sino además sobre la eficiente implantación de ésta en el ámbito general de la estructura empresarial, acupandose también de temas materiales como la seguridad física, los métodos de trabajo (análisis y programación), documentación, explotación, organización, etc. y también otro aspecto como las relaciones informática vs usuarios o los excesos o defectos de información proporcionados por el sistema.

Cantidad y calidad de inf. para usuarios.

Tendera a examinar a examinar todos aquellos aspectos que contribuyan a que la función informática sea una herramienta eficiente al servicio de la gestión. Crear intereses opuesto, cada área posee distintos objetivos entonces aumenta el control.

Se divide en:

Auditoria de gestión.

Auditoria de los procedimientos.

Auditoria de las cifras.

Aumenta el control de acuerdo al riesgo (probabilidad de ocurrencia y de la forma de decisión con información o con expectativa.

¿Que significa definir los objetivos y alcances de la AI?

Con respecto a los alcances es difícil determinar hasta donde puede llegar el ámbito de actuación de la auditoria informática.

Puede implicar elementos económicos (presupuesto), hasta aspectos de management(pueden ser la posición de la dirección general ante la informática)

Son todos ellos parte de un todo que se puede hacer tan extenso como se quiera, en definitiva: una visión global de la actividad de auditoria.

Actividad que podrá cubrir aspectos funcionales, abarcando desde la adecuación de los sistemas en funcionamiento a las necesidades reales, hasta la revisión de los tiempos de respuesta, pasando por la fiabilidad de los sistemas y la medición del área de informática.

Los aspectos técnicos, los aspectos económicos, aspectos de dirección y la seguridad (tanto a nivel lógico como física). Las gerencias de informática están muy sensibles con temas como la confidencialidad de los datos, con la seguridad de acceso, ante elementos extraños.

Rpta: por otro lado la auditoria tiene lógica si se conocen bien los objetivos, como es tan amplio y abarcativo tenemos esta contradicción. Por otro lado no tiene lógica si no se conoce lo que se hace. Por lo tanto el auditor deberá evaluar eficiencia y eficacia con que se esta operando par a que por medio del señalamiento de cursos de acción alternativos se tomen decisiones que permitirán corregir los errores en caso de que existan, o bien mejorar la forma de actuación. Requiere de un juicio profesional sólido y maduro para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos.

¿Cuáles son los objetivos generales de la auditoria informática?

La auditoria informática debe tener presentes los objetivos de:

Autorización
Procedimientos y clasificación de transacciones.
Salvaguarda física
Y verificación y evaluación de los equipos y la información.

Al igual de los objetivos de control interno.

Protección de los activos de la empresa
Obtención de información financiera veraz, confiable y oportuna
Promoción de la eficiencia en la operación del negocio
lograr que en la ejecución de las operaciones se cumplan las políticas establecidas por los administradores de la empresa.

¿Qué debe analizar y evaluar en la investigación preliminar de la informática?

Se debe recopilar información para obtener una visión general el área a auditar por medio de observaciones, entrevistas preliminares y solicitudes de documentos. La finalidad es definir el objetivo y alcance del estudio, así como el programa detallado de la investigación.

La planeación de la auditoria debe señalar en forma detallada el alcance y dirección esperados y debe comprender un plan de trabajo para que, en caso de que existan cambios o condiciones inesperadas que ocasionen modificaciones al plan general, sean justificadas por escrito.

Tener en cuenta los alcances para no crear falsas expectativas, lo que hace y lo que no van hacer y posiblemente luego en el próximo trabajo.

Se debe hacer una investigación preliminar solicitando y revisando la información de cada una de las áreas de la organización.

Para poder analizar y dimensionar la estructura por auditar se debe solicitar:

A nivel organización total:

objetivos a corto y largo plazo
Manual de la organización
Antecedentes o historia del organismo
Políticas generales

A nivel informática

Objetivos a corto y largo plazo
Manual de organización del área que incluya puesto, niveles jerárquicos y tratados de mando.
Manual de políticas, reglamentos internos y lineamientos generales
Número de personas y puesto en el área
Procedimientos administrativos en el área
Presupuestos y costos del área

Recursos materiales y técnicos

Solicitar documentos sobre los equipos, números de ellos, localización y características.
Estudios de viabilidad
Número de equipos, localización y las características (de los equipos instalados, por instalar y programados)
Fechas de instalación de los equipos y planes de instalación
Contratos vigentes de compra, renta y servicio de mantenimiento
Contratos de seguros
Convenios que se mantienen con otras instalaciones
Configuración de los equipos y capacidad actuales y máximas
Planes de expansión
Ubicación general de los equipos
Políticas de operación
Políticas de uso o de equipos

Sistemas

Descripción general de los sistemas y de los que estén por instalarse que contengan volúmenes de información

Manual de formularios
Manual de procedimientos de los sistemas
Descripción genérica
Diagrama de entrada, archivos y salida
Salidas
Fecha de instalaciones de los sistemas
Proyecto de instalación de nuevos sistemas

¿A su entender la mejor posición funcional del área de auditoria informática es?

Generalmente la auditoria informática suele ser encargada por la dirección general o por la propia dirección de informática para rendir cuentas ante la dirección general

¿Cuáles son las causas que se puede solicitar una auditoria informática?

La AI puede ser solicitada en relación a:

En relación con la auditoria financiera externa: el auditor financiero externo puede requerirla por los siguientes motivos:

La revisión de los procedimientos de control interno
Controles generales
Revisión de aplicaciones (lógica, diseño, controles, programados, informes, etc.)
Revisión de programas
Seguridad física(controles físicos, backup, prevención de desastres)

Con lo que el auditor financiero podrá dar más consistencia a sus juicios y conclusiones.

En relación con la auditoria interna:

Conocer la eficiencia y fiabilidad de los sistemas implantados
Seguimiento de planes informáticos
Control del desarrollo del software.
Controles y diagnostico en la adquisición del hardware.

En relación con la eficacia: la eficacia del servicio informático puede aportar los suficientes elementos para motivar la auditoria del sector. Por ejemplo:

Evaluación de rendimiento
Capacidad gerencial y staff.
Evaluación del hardware
Metodología de desarrollo
Costos
Evaluación del software de desarrollo

En relación con la seguridad:

Seguridad física (elementos tangibles)
Seguridad del teleproceso y los accesos lógicos (encriptar con relación a costos control con el daño potencial)
Seguridad en la operación y explotación
Planes de evitación de desastres y supervivencia en caso de que los desastres ocurran
Seguridad de las aplicaciones y los datos
Seguridad del personal(motivación, lealtad)

¿De que factores debe depender el papel del auditor informático del área de auditoria?

El papel del auditor dependerá de:

De la propia organización en la que se devolverá el auditor. estructura, líneas de dirección y por supuesto el tipo de actividad que desarrolla la empresa, marcan decisivamente la labor a desarrollar por el auditor.
El área de informática objeto de la auditoria, ya que el grado de sofisticación, tamaño, recursos con que se cuenta marcaran la diferencia a la hora de fijar los objetivos de la auditoria informática. Tipos de procesos que se efectúan, si se compra el soft o se desarrolla, etc.
Las relaciones con la auditoria tradicional: ya que si es grande el grado de sistematización de la empresa y los auditores financieros o contables tienen escasa formación informática, el papel del AI puede tener mucho que ver con dar asistencia, soporte y hasta formación de sus colegas de Auditoria Financiera Contable.
Las propias limitaciones técnicas del auditor: ya que difícilmente un auditor podrá juzgar por ej. el sistema de telecomunicaciones de un centro de cómputos más elemental formación en Teleinformática.

¿Defina los objetivos de la auditoria Informática en el área de la planificación?

Los objetivos de la auditoria informática en el área de la planificación son.

Determinar que planes del proceso de datos están coordinados con los planes generales de la organización.
Revisar los planes de informática con vistas a determinar sobre su idoneidad
Contrastar el plan con su realización
Determinar el grado de participación y responsabilidad de directivos y usuarios en la planificación
Participar incluso en el proceso de la planificación
Revisar los planes de desarrollo de software de aplicaciones
Revisar los procedimientos de planificación del software del sistema (software de base)
Comprobar la ejecución del plan en cualquiera de sus niveles.

¿Defina los objetivos de la Auditoria Informática en el área de la planificación y los riesgos de una planificación inadecuada?

Los objetivos de la auditoria informática en el área de la planificación son.

Determinar que planes del proceso de datos están coordinados con los planes generales de la organización.
Revisar los planes de informática con vistas a determinar sobre su idoneidad
Contrastar el plan con su realización
Determinar el grado de participación y responsabilidad de directivos y usuarios en la planificación
Participar incluso en el proceso de la planificación
Revisar los planes de desarrollo de software de aplicaciones
Revisar los procedimientos de planificación del software del sistema (software de base)
Comprobar la ejecución del plan en cualquiera de sus niveles.

Los riesgos de una planificación inadecuada: la ineficacia en la planificación o su falta comporta una serie de riesgos como:

Desarrollo de aplicaciones inconexas
Información redundantes (puede ser consecuencia del problema anterior, por falta de conexión)
Sensación de informática caótica: difícil coordinación de los grupos de trabajo debido a la falta o ineficiente planificación de trabajos y recursos
Desconexión del área de informática del resto de la organización: si el usuario no ha participado de la elaboración de la planificación será reticente a utilizar sistemas que son facilitados para intentar cubrir necesidades que no tiene o al menos no son prioridades para su trabajo

Auditoria informática en el área de planificación. Defina plan estratégico, plan táctico y plan operacional. De características de cada uno de ellos

Planificación de la gerencia de informática

A nivel estratégico Fija objetivos a largo plazo

A nivel táctico Transforma los objetivos marcados en el nivel estratégico en planes de realización ejecutables a corto plazo

A nivel operacional lleva a cabo las tareas que consecuencia directa de los planes tácticos

Plan estratégico

Es un documento que comprenderá fundamentalmente:

problemas de asignación de recursos,
describiendo aspectos relativos al entorno empresarial (objetivos, problemas, etc.)
a las exigencias de información detectadas
a prioridades y relaciones costo/beneficio
a la propia arquitectura de datos y aplicaciones
o al modo en que se soporta actualmente la actividad del negocio

elementos de futuro como son:

el programa de evolución hacia la nuevas situación o el método.
Estructura y recursos necesarios para la realización y dirección de tal evolución, así como el mecanismo de control con que garantizar en el futuro la actuación del plan del sistema de información

Características distintivas del plan estratégico

Su duración de 4 a 5 años

Se realizará por la dirección de sistemas a instancias de la información proporcionada por la dirección de la empresa, los usuarios y la gestión de la propia dirección de sistemas.
Se revisara y aprobara por áreas de negocio y dirección
Será un documento conocido en todos los ámbitos de la empresa
Se revisara periódicamente o ante eventuales variaciones en las hipótesis desviaciones del plan inicial

Contenido principal del plan a este nivel estratégico cabe citar

Situación actual: no sólo del área de sistemas y hasta de la empresa sino también en relación al momento tecnológico y con la competencia
Hipótesis de previsión: de desarrollo a partir de la situación actual citada en el pto. anterior
Política de la empresa: en lo que respecta a desarrollo explotación, almacenamiento de información, proceso centralizado o distribuido, etc.
Objetivos del área de sistemas. en cuanto a servicios a prestar minimizando costos
Personal del área de sistemas: definiendo la cantidad de empleados y sus perfiles profesionales
Configuración de software: sistemas operativos, utilitarios, sistemas de gestión de bases de datos, monitores de tp, ayudas a la programación, lenguajes de 4 generación
Configuraciones de hardware: ordenador central, y ordenadores distribuidos, periféricos, redes de comunicación, telecomunicaciones.
Estudio de las necesidades de seguridad y prevención de riesgos

Plan Táctico

El plan táctico tiene por objetivo desarrollar un plan de proyectos, ordenado por prioridades que cubre las necesidades de previsión de aplicaciones, datos y sistemas

El contenido de este plan a nivel organización es:

Estimación de los tiempos y recursos a asignar por proyectos evaluando, además, las necesidades de horas hombre
Fijación de costos y factibilidad de ejecución a nivel de proyectos
Evaluación de las necesidades de seguridad y auditoria por proyecto
Programa detallado con plazos y responsables de los proyectos en cuestión, elaborado por la dirección del dpto. de inform, y aprobado por la dirección de la empresa

Como características del plan estratégico pueden distinguirse:

El plazo previsto para su ejecución será de medio año
La revisión del plan se efectuara mas frecuentemente, podría hacerse en tres meses
Se seguirá por el comité de informática y afectara a los proyectos definidos en el plan estratégico

Plan operacional

En realidad a este nivel de la organización no es solo un plan sino un conjunto de planes operacionales.

Su plazo de realización es corto y estará en función de la envergadura de al tarea a cumplir. Contendrá el mayor nivel de detalle posible. Cada plan será responsabilidad de un jefe de proyecto (o jefatura) y su seguimiento corresponderá al área de informática.

Toda planificación, una vez hecha y puesta en marcha, habrá de ser controlada, evaluada la efectividad del plan y su incidencia en el rendimiento de la organización. Es decir se deberá medir y controlar en los tres niveles que se han comentado de la organización y ser evaluada.

Defina los objetivos de la auditoria informática en el área de la organización y la administración.

Determinar que planes del proceso de datos están coordinados con los planes generales de la organización
Revisar los planes de informática con vistas a determinar sobre su idoneidad
Contrastar el plan con su realización
Determinar el grado de partición y responsabilidad de directivos y usuarios en la planificación
Participar incluso en el proceso de la planificación
Revisar los planes de desarrollo de software de aplicaciones
Revisar los procedimientos de planificación del software de sistemas
Comprobar la ejecución del plan en cualquiera de sus niveles

El auditor informático debe centrar su atención en:

El sistema de información

La planificación del desarrollo
La planificación de proyectos
La definición y distribución de la cartera de aplicaciones, que comprende cuatro aspectos:

Planificación de las aplicaciones
Planificación de los datos
Planificación de los sistemas
Planificación de proyectos

Que nos permitirá determinar una auditoria informática en el área de la organización y la administración

La información nos servirá para determinar:

Si las responsabilidades en la organización están definidas adecuadamente
Si la estructura organizacional está adecuada a las necesidades
Si el control organizacional es el adecuado
Si se tienen los objetivos y políticas adecuadas, se encuentran vigentes y están bien definidas
Si existe la documentación de las actividades, funciones y responsabilidades

Si los puestos se encuentran definidos y señaladas sus responsabilidades
Si el análisis y descripción de puestos esta de acuerdo con el personal que los ocupa

Si se cumplen los lineamientos organizacionales
Si el nivel de salarios es adecuado comparado con el mercado de trabajo
Si los planes de trabajos con los objetivos de la empresa
Si se cuenta con los recursos humanos necesarios que garanticen la continuidad de la operación o se cuenta con indispensables
Si luego de evaluados los planes se encuentran desviaciones

En auditoria informática, en el área de organización y administración ¿Qué se debe verificar en relación a la situación presupuestada y financiera?

Se deberá verificar:

Costos del área, desglosado por subareas y controles

Presupuesto de la gerencia, desglosado por áreas

Características de los equipos, número y contratos

17- En la auditoria, en el área de organización y administración ¿qué temas se debe recabar durante las entrevistas con el personal relativos a la empresa?

Bases jurídicas:

si la organización se ajusta o no a las normas jurídicas

Objetivos de la estructura: permite la estructura que se lleven a cabo con eficiencia las funciones, la distribución del trabajo, los controles internos.

Niveles jerárquicos:

si son suficientes, si se permiten que se desarrollo la supervisión y las operaciones.

Si se permite la comunicación ascendente y descendente ágil

Departamentalización

Si los puestos son adecuados
Si están delimitadas las responsabilidades entre las áreas y las subáreas

Puestos

Si los puestos son adecuados a las necesidades de cada área
Si la cantidad de empleados es la adecuada
Manuales de descripción de puestos

Expectativas

Detectar las expectativas del personal, si se deberá revisar la estructura

Autoridad

Si la autoridad va de acuerdo a la responsabilidad
Si se han presentado conflictos por el ejercicio de autoridad

Funciones

Establecer si se han definido las funciones
Si las funciones están por escrito y se han dado a conocer
Si se conocen las funciones del departamento
Están adecuadas a las necesidades actuales
Están adecuadas a la carga de trabajo
Cuales realiza en forma periódica o eventual
Si permite cumplir con los programas

Apoyos

Si se requiere de otras áreas para cumplir sus funciones
Si el área ayuda a otras

Duplicidad

Si hay duplicidad de funciones en el área, en otras áreas, si se pueden transferir

Objetivos

Si son congruentes con los objetivos de la dirección o subdirección
Si se han dad a conocer los objetivos del área

Objetivos adecuados

Si abarcan los objetivos toda la operación del área
Que aspectos no cubren
Son realistas, se pueden alcanzar, si están de acuerdo con las funciones del área

Cumplimiento de los objetivos

En que grado se cumplen, que se hace en caso de desviación

18- En la auditoria informática en el área de organización y administración ¿qué temas se debe recabar durante las entrevistas con el personal relativos a los RRHH?

Desempeño y cumplimiento:

si es suficiente
si está capacitado para realizar con eficacia las tareas
calidad del trabajo
si es frecuente la repetición de trabajos
si es discreto el personal con el manejo de información confidencial

Capacitación

Si se desarrollan programas de capacitación
Si la supervisión apoya dichos cursos
Si se evalúa los resultados de los programas de capacitación

Supervisión

Como se supervisa al personal
Si se controlan el ausentismo y los retardos
Como se controlan las faltas
Como se manejan los ascensos, promociones y aumentos salariales

Limitaciones
Remuneración
Ambiente

Si el personal esta integrado al grupo

Desarrollo y motivación

Como se estimula y recompensa al personal
Existe oportunidad de ascensos

En la auditoria informática de los procedimientos que puntos deberían ser evaluados de acuerdo a su criterio con respecto a la seguridad de archivos y datos?

Retención de datos: definir estándares de retención para cada tipo y forma de dato
Establecer para cada aplicación: los periodos de retención para los documentos y archivos importantes
Condiciones de almacenamiento

En la auditoria informática de los procedimientos que puntos deberían ser evaluados de acuerdo a su criterio con respecto al control de teleproceso.

Registro de control
Uso de teleproceso
Justificar los lugares donde están ubicadas las terminales
Controlar las aciones cuando surgen problemas
Verificar la rapidez y sus procedimientos
Probar la seguridad del sistemas y procedimientos
Inspeccionar la eficacia y realismo de los controles que se aplican

En la auditoria informática de los procedimientos, que deberían ser evaluados de acuerdo a su criterio con respecto a equipos de back up.

Verificar si se han tenido en cuenta los distintos problemas que pueden derivarse de los niveles de fallo del sistema y equipos asociados
Si se tuvieron en cuenta los respaldos que se necesitasen
Análisis de riesgo (perdidas -seguros)
Si el personal ha recibido la formación sobre los procedimientos alternativos y si se practican periodicamente
Si existen programas para recuperar la información cuando se finalizan las operaciones de emergencia

En la auditoria informática de los procedimientos que puntos deberán ser evaluados de acuerdo a su criterio con respecto a la función del área de cintoteca de la subgerencia de producción

Que existan manuales e instrucciones para la operación de cintoteca y según las exigencias de cada sistema

Si los procedimientos proveen:
almacenamiento seguro

Manipulación adecuada
Uso autorizado de los soportes magnéticos

Si se cumplen las normas y procedimientos
Si se mantiene un registro actualizado de los movimientos de los archivos
Si se puede ejercer el control sobre la biblioteca independientemente de otras áreas
Si existen medidas de protección
Si el lugar es adecuado
Inventario de archivos esta actualizado y como se controla
Verificar se certifica la destrucción o baja de los archivos defectuosos

En la auditoria informática de los procedimientos que punto deberían ser evaluados de acuerdo con su criterio con respecto a la función del líder de proyecto y programadores

Si el líder del proyecto controla eficazmente las normas de desarrollo, diseño, programación, documentación, pruebas e implementación de los sistemas en la empresa
Si se ha establecido un grupo de gestión a nivel de diseño de una manera adecuada, eficaz y representativa
Si el grupo de diseño supervisa los proyectos adecuadamente y se los mantiene dentro de los limites de costo y tiempo
Si se utilizan y supervisan métodos adecuados de control de trabajos
Si el personal de desarrollo no tiene acceso a datos operativos
Si se mantiene la documentación adecuada de todos los trabajos

Programador:

Si existe una supervisión eficaz,
si se impone algún control sobre la calidad de los trabajos,
si se cumplen con las normas de programación y si no las hubiera establecidas si la confección de los programas se efectúa bajo las reglas del buen arte
si las pruebas de los prog se efectúa en forma separada de las del sistema y que los programadores no utilicen datos reales ni accedan al ordenador en modo operativo
si los programas que se preparan (en desarrollo) se mantienen en una biblioteca separada y que su envío a explotación tiene su nivel de autorización. Que la transferencia a explotación no la realicen los programadores
si los trabajos de mantenimiento de programas se controlan y registran cuidadosamente y que las modificaciones se prueben y autorizan(control de cambio)
se la documentación de mantiene siempre actualizada
si se comprueba periódicamente el contenido de los programas que se guardan en las bibliotecas del computador
si las pruebas se realizan en forma separada para que puedan identificarse los errores
si se predice los resultados de las pruebas antes de utilizar los datos

En la auditoria informática de los procedimiento que puntos deberían ser evaluados a su criterio con respecto a la función de Area de control de la subgerencia de producción

Se ejerza el control independientemente de las presiones de los dptos administrativos o las necesidades del proceso
El personal de control tenga la suficiente autoridad como para imponerlo
Si el control se ejerce en el nivel adecuado (controlar con una autoridad si pasa de un cierto monto el cheque)
Probar si se comprueba la calidad de los trabajos que se entregan
Si se establecen una separación de funciones dentro de la sección de control, ejemplo ejerciendo un control separado entre la entrada y la salida
Los usuarios mantengan un registro adecuado de la recogida y establecimiento de datos de control y que este registro alimenta al sistema central de control
Se mantiene una verificación total e independiente de las actividades mecanizadas, comprobando la exactitud del proceso
Si existen manuales de control para cada sistema
Averiguar el impacto que produce sobre el trabajo el hecho de que en algún momento la sección de control no este operativa cuando estén otras secciones
Verificar hasta que punto ase alteran los estándares de trabajado en diferentes ocasiones y bajo distintas condiciones

Corrección y análisis de errores

Verificar los métodos de corrección de errores para ver si se tratan todos y si las correcciones las hacen la s personas adecuada
Hacer un resumen de los tipos y volúmenes de errores que se producen en cada uno de los sistemas y puntos de detección
Analizar el significado de los tipos y volúmenes de errores y los cambios de tendencia que se observan
Indagar las causa de cualquier tipo de incidencia alta de errores y tratar de remediarlas

Area de ingreso de datos

Se mantiene un registro adecuado de los trabajos, fallos, problemas y acciones que se adopten frente a los errores
Se ejerce un control eficaz sobre los procedimientos y se mantiene la integridad de los trabajos
Si los procedimientos de verificación son independientes de la preparación inicial de los datos
Se ejerce control sobre las correcciones que se hagan durante la verificación de datos
Verificar hasta que punto se altera los estándares de trabajo en diferentes ocasiones y bajo distintas condiciones

En la auditoria informática de los procedimientos que puntos deberían ser evaluados de acuerdo a su criterio con respecto a la función del área de despacho de la subgerencia de producción? Impresión de datos

Existen estándares y procedimientos adecuados para el despacho de trabajos y que se estipula claramente la prioridad de cada uno y se cumplen con eficacia
Verificar si existe control sobre el envío de las cantidades adecuadas y tipos de documentos
Se mantiene actualizado el trabajo de despacho y que los que quede pendiente no quede eternamente
Hay procedimientos adecuados para manejar información confidencial
Se mantiene un registro donde se pueda comprobar o demostrar todo lo que ha sido despachado
Se registran los errores y los problemas, así como la disponibilidad de los equipos y se verifica el plan de mantenimiento de equipos
Averiguar si existen impresos controlados en manos de personas no autorizadas
Controlar que los métodos de destrucción de impresos caducados y asegurarse de que no se corren riesgos innecesarios
Verificar hasta que punto se alteran los estándares de trabajo en diferentes ocasiones y bajo distintas condiciones
Verificar si se conocen y registran los retrasos

En la auditoria informática de los procedimientos, que deberían ser evaluados en el área de seguridad de programas y bibliotecas de programas

Que el contenido de las bibliotecas de programas estén respaldados por eficientes normas de seguridad
Se mantienen en un lugar distinto al de trabajo copias actualizadas de las bibliotecas de programas y de documentación
Si la documentación es la adecuada para que los programas puedan correr en otra instalación
Si la documentación es la adecuada para que los programas puedan correr en otras instalaciones
Si las maquinas de reserva tuvieren otro sistema operativo o compiladores si en la instalación remota se mantienen copias de las versiones especialmente compiladas para ella
Se ejerce un control y seguridad adecuados sobre acceso y uso de programas
Si los programas que se están desarrollando o modificando están separados de los operativos y que están en bibliotecas distintas y con distinta clave de seguridad y acceso

En cuanto a las bibliotecas de prog y datos:

Que se controle la autorización de salida y/o actualización de los programas y/o archivos,
examinar la posibilidad de que los archivos sean utilizados para fines autorizados, examinar los métodos de tratamiento y almacenaje de archivos
inspeccionar el funcionamiento de la biblioteca de archivos y sus relaciones con la sección de operación
verificar el impacto que produce sobre el control de archivos el hecho de que el área que atiende las bibliotecas y archivos no este operativa cuando lo este la sala de computación

Idem en el área de bibliotecas de documentación

Exista al menos un lugar definido como centro autorizado de documentación
Existan estándares que controlen el funcionamiento de dicho centro
Se responsabilice a las personas que produzcan especificaciones o modificaciones de software o de sistemas par a que depositen copias en las biblioteca
Se designa a alguien para que se encargue específicamente de la biblioteca y mantenga los registros, la copia de seguridad de los documentos, actualice las copias, y autorice la salida de la documentación cuando se necesite
Se controlen las modificaciones de la documentación de forma que se pueda seguir la pista de la misma
La seguridad y el control de la documentación son adecuados

Idem en el área de carga de maquina de la subgerencia de producción

Agrupa los datos, archivos, formularios y todos los elementos que necesite el operados para efectuar la carga de datos

La función clave del operador de carga de maquina esta relacionada con el logro eficiente y efectivo que

Satisfaga las necesidades de tiempo del usuario
Permitan niveles efectivos de utilización de los equipos y sistemas de operación
Permita la ágil utilización de los equipos en línea

Para lo cual se deberán balancear los factores midiendo los resultados para ir corrigiendo la metodología utilizada

Se verificara:

Si los estándares, procedimientos instrucciones y manuales son adecuados que cubran todas las posibilidades de proceso s que se puedan suscitar
Si se observan los procedimientos
Si se mantiene un registro adecuado
Si los trabajos que se inician están autorizados
Verificar hasta que punto se altera los estándares de trabajo en diferentes ocasiones y bajo distintas condiciones
Si se cambian frecuentemente los programas de trabajo indicando las causas y las soluciones adoptadas ante los distintos tipos de problemas

Idem en el área de implementacion de la subgerencia de producción

Si existe un registro de los stream que se realizan, por única vez o no
Que las modificaciones a los stream no se efectúen en las áreas de operación o programación
Que los stream generados no puedan ser modificados desde otro ámbito
Se ha previsto preparar stream de recuperación o reproceso de sistemas que hayan de efectuarse en situaciones de emergencia
Verificar hasta que punto se alteran los estándares de trabajo en deferentes ocasiones y bajos distintas condiciones
La preparación de los stream sea independiente a la preparación de datos y al área de operación
Existan estándares, instrucciones y manuales adecuados que gobiernen la preparación de los stream
Se observan los procedimientos

Mantenimiento de programas

La metodología de control de cambios emita instrucciones sobre los procedimientos del mantenimiento de programas, incluyendo métodos de solicitar y autorizar modificaciones, así como de realizarlas y probarlas
Se mantienen registros de todas las modificaciones que se han hecho, sus motivos, antecedentes, etc.
Se suspenda el uso mientras se esta modificando
Existe un control cuidadoso y regular por parte de la jefatura sobre el mantenimiento y modificación de los programas
Verificar hasta que punto se alteran los estándares de trabajo en diferentes ocasiones y oportunidades

Idem en el área de operadores

Existan estándares operativos adecuados, tanto generales como específicos de cada sistema de aplicación.
Deberán establecer procedimientos y métodos de operación seguros
los estándares deberán documentarse totalmente y dejarse a disposición de los operadores
los mismos deberán prever
el control de los trabajos y los datos,
la separación de los trabajos de operación,
los de seguridad
los de recuperación de procesos
los de desarrollo
los de formación, etc.

asimismo deberán cubrir las medidas de operación que hay que tomar en caso de cancelaciones de programas, que el sistema se caiga o se degrade o imprevistos en general

rearranques, recuperaciones de archivos
los jefes de turno hagan cumplir los estándares mas adecuados a cada circunstancia
los operadores reciban a formación adecuada
se observa una separación de funciones adecuada
que los operadores no realizan funciones que pertenecen a otras secciones y
que el objetivo de mejorar e rendimientos de la instalación no sirva para ignorar las exigencias de seguridad o de control
se mantienen e inspeccionan registros de operación
si se llevan registros sobre fallas del sistema, hw, sw de base o de aplicación, rearranque y recuperación de archivos

observar :
si la jefatura realiza inspecciones periódicas controlando procedimientos de autorización
trabajos realizados contra los planificados
ordenes de trabajo
cumplimiento de normas, etc.

verificar hasta que punto se altera los estándares de trabajo en diferentes ocasiones y bajo distintas condiciones
verificar que el operador no pueda modificar los datos de entrada, bibliotecas de programas o archivos
verificar que sea razonable el plan para coordinar el cambio de turno

AI en el desarrollo de sistemas. Defina el objetivo y los puntos a verificar durante la AI de la mecanización

Objetivos :

La propuesta de mecanización define las pautas de los nuevos sistema y una vez aceptada se emprendería el nuevo trabajo de diseño y programación

El auditor deberá asegurarse de que son adecuados los principios básicos de diseño en todo lo relacionado a control y verificaciones interna

No se debe abundar en detalles solo deberá brindar información suficiente a la dirección y a los auditores como para poder efectuar un primer análisis de sistema y tomar decisiones en cuanto a si prosecución o no

Propuesta:

Búsqueda de elementos que se hayan pasado por alto y verificación de los que se hayan incluido
Análisis del control interno del sistema y sus evidencias auditables incluyendo las fases administrativas
Estudio de las propuestas de control y resultados y de que la valorización se haga del activo y del pasivo va a ser adecuada
Comprobación de la eficacia del sistema contemplando especial mente la emisión de la información de gestión
Estudio de la calidad de gestión del desarrollo del proyecto incluyendo la observación de los estándares
Análisis de las ayudas de auditoria que se facilitan incluyendo las pistas auditables, los listados de rutina y los especiales, ayuda de consulta y distintos registros
Estudio de la eficiencia del sistema propuesto

En la auditoria informática en el desarrollo de sistemas. Define el objetivo y los puntos a verificar durante la AI de la propuesta y la implemetanción

Idem propuesta detallada

La AI deberá asegurar

En cada etapa se inscriben en el sistema unos procedimientos de control adecuados y que ciertas cifras de control pueden verificarse de modo general independientemente del sistema mecanizado
La evidencia auditable que deja el sistema es suficiente para perseguir errores y corregirlos así como para que los auditores realicen su labor
Se practica una división de funciones y responsabilidad en la medida que se pueda

la salida del sistema verifica antes de distribuirla, y que el tratamiento que se de a la información confidencial sea el adecuado

Los procedimientos de salida llevan incorporados sistemas correctivos de validación y detección de errores y que van a imprimirse y no a las prioridades del computador
El diseño de los datos de salida puede adaptarse a las modificaciones que vayan surgiendo (flexibilidad)
Se ejerce un control adecuado sobre los formularios especiales o negociables.
Los registros de las transacciones de entrelazan suficientemente con su información original y de control
Los controles de entrada son adecuados y que se van a mantener actualizados
Si se ha previsto un control adecuado de la entrada de datos on line y si la seguridad de los enlaces on -line es eficaz y el equipo esta suficientemente protegido
Existe autoridad suficiente para el movimiento y procesamiento de la información
Existe una reconciliación independiente de las cifras de control de los datos de entrada y que las discrepancias se anejan satisfactoriamente y de forma autorizadas
Los informes sobre errores se reciben en el punto mas adelantado posible que existe un control para asegurares de que se corrigen y que los métodos de corrección disponen de las protecciones necesarias
Cuando exista entrada de datos on-line el sistema impedirá eficazmente que los usuarios accedan al sw de aplicación o de utilitarios o que utilicen datos no autorizados
Los formularios y diseños de entrada resultan adecuados a los usuarios así como las condiciones en las que se van a utilizar
Si la documentación de todos los archivos magnéticos obedece a los estándares adecuados si la reorganización y el diseño de los ficheros es razonable y admite consultas y si se utiliza diccionario de datos que este definido con claridad
Si se ha tenido en cuenta la necesidad de modificaciones y desarrollo al diseñar los archivos
Si todos los archivos están sometidos a controles adecuados y si la cobertura de dichos controles es razonables
Si los totales de control se imprimen habitualmente y se comparan con cifras calculadas independientemente
Si se mantienen registros de las operaciones online
Seguridad
Formación del personal
Si la estructura se adapta a las modificaciones
Si quedan evidencias auditables

Idem durante la AI de los programas y la prueba

Objetivo : realizar las comprobaciones sobre los sistemas y comentar con los programadores

Puntos a comprobar

Existen procedimientos de gestión adecuados para controlar programas y pruebas y que en esos procedimientos hay verificaciones y controles adecuados
Existan una relación correcta entre los analistas los programadores que participan en el desarrollo
Se controlan y verifican las pruebas de los programas
Las modificaciones que se efectúan en el sistema durante la programación por la razón que fuese se registren debidamente y se añadan a la documentación
Los programas en desarrollo se mantienen en todo momento separados de los operativos
Las pruebas de los programas se realizan aparte y además de las de los subsistemas

En la auditoria informática en el desarrollo de sistemas. Define el objetivo y los momentos en los que puede efecutarse la aud inf de desarrollo

La auditoria debe garantizar que se cumplan con todas las etapas y requerimientos del plan de sistemas y la metodología en uso para la definición de los objetivos del nuevo sistema sus limites (alcance) su planeación y posterior desarrollo

Obj y puntos a verificar:

Examinar la metodología de construcción en uso, o en su defecto aconsejar la implementacion de una metodología
Revisar la definición de los objetivos del sistema, analizando si se cumple las necesidades de los usuarios
Explotando la potencia del ordenador y mejorando la eficiencia del trabajo de los usuarios
Verificar si el control y la planificación del proyecto es el adecuado así como el control que se ejerce durante el desarrollo del proyecto
Verificar que el sistema de control de datos es adecuado
Si las verificaciones internas proporcionan los procedimientos y disposiciones del sistema son satisfactorios
Si el control de los formularios es adecuado
Si los manuales que se producen son suficientes si proporcionan la información adecuada a las personas
Se es adecuada la separación d funciones entre las áreas administrativas y mecanizadas del sistema
Si se van a asegurar la confiabilidad y la continuidad del sistema, así como la salvaguarda de activos y datos
Examinar la lista de los problemas a resolver por el sistema, dictaminando sobre la prioridad y razonabilidad de solución de estos
Verificar los medios dispuestos para el desarrollo del sistema
Comprobar el plan de tareas y previsión de dificultades
Revisar el estudio económico de costos
Evaluar los métodos de recopilación de datos
Analizar los medios de seguridad con que se va a dotar al sistema
Analizar las insuficiencias que haya que estudiar con especial atención durante la auditoria normal u el impacto que va a producir el sistema sobre procedimientos futuros de auditoria
Si son eficientes las disposiciones que se han tomado para el desarrollo y ejecución del sistema

Momento para efectuar la aud de desarrollo

Existen varios puntos de vista, si se hacen cuando están realizando dicho desarrollo deberán tener buenas oportunidades de que las modificaciones que se sugieran puedan incorporarse al sistema de forma oportuna y económica

Así pues el estudio se hace antes de que el sistema entre en funcionamiento, por lo que muchas evaluaciones pueden resultar teóricas

Por otro lado las pautas de diseño suelen variar substancialmente durante el proceso de desarrollo y se corre el riesgo de perder el tiempo de los AI haciéndoles analizar ideas que quizás no lleguen a desarrollarse

Por eso muchos auditores prefieren estudiar al sistema un poco después de que haya entrado en funcionamiento

En la auditoria informática en el desarrollo de sistemas. Define el objetivo y los puntos a verificar durante la Aud Inf de la propuesta detallada

La propuesta detallada es un documento mas preciso que la propuesta general.

Brinda mas detalles sobre las variaciones y particularidades del esquema general de actividades y contempla los procedimientos mecanizados y los administrativos

Se deberá analizar.

El impacto general de la propuesta y la justificación detallada del sistema
Los procedimientos administrativos sus especificaciones y la planificación de tiempos
Los procedimientos mecanizados sus especificaciones y planificación de tiempos
Propuesta de planificación de la implementación
La calidad de las comprobaciones internas, la separación de funciones y la factibilidad del control se han mantenido en un nivel aceptable
Ahora deberán solucionarse los puntos débiles o tenerse en cuenta para planificar futuras auditorias
Si se ha adoptado al sistema de estándares adecuados de control y de necesidades de auditoria y gestión

En cuanto a las especificaciones no informáticas:

Si los formularios y procedimientos propuestos van a recolectar los datos adecuados, garantizar la autorealización necesaria y el control en todo el sistema
Si son apropiadas las actividades administrativas y si son competencia del personal correspondiente
Si se han previsto los volúmenes y tenido en cuenta los picos de trabajo y la dotación del personal
Si esta claro como hay que utilizar los formularios y si los mismos cumplen las normas de auditoria para un nivel de control razonable
Quien autoriza y quien controla las correcciones de errores o de otros fallos

Idem enumere algunos tipos de auditoria durante el desarrollo de sistemas y explique brevemente

Auditoria de comienzo de desarrollo de sistemas: se deberá tomar contacto con las propuestas nuevas analizar los elementos de gestión y de control, tomar contacto con los proyectos y de documentación que haya establecido la dirección del proyecto. Deberá tener en cuenta:
Si existen controles de gestión adecuados en todas las etapas del proyecto
Si el director de proyecto posee suficiente autoridad para supervisar eficazmente el desarrollo
Si existe una programación adecuada del proyecto con etapas recursos y tiempos
Si están especificados los alcances del proyecto so es el adecuado y si han sido aceptados por todos los responsables del proyecto y áreas involucradas
A. De la propuesta de mecanización:

La propuesta de mecanización define las pautas de los nuevos sistema y una vez aceptada se emprendería el nuevo trabajo de diseño y programación

El auditor deberá asegurarse de que son adecuados los principios básicos de diseño en todo lo relacionado a control y verificaciones interna

A de la propuesta detallada

La propuesta detallada es un documento mas preciso que la propuesta general.

Brinda mas detalles sobre las variaciones y particularidades del esquema general de actividades y contempla los procedimientos mecanizados y los administrativos

De los prog y pruebas: verificaciones, comentarios que se hablaran con los programadores sobre el trabajo real de los mismos. Controles sobre pruebas y programas. Relaciones entre
Del aprovisionamiento del sistema y planificación de la implementación

Aprovisionamiento de las personas, equipos formularios y normativas para el adecuado funcionamiento de los sistemas y sus resultados. Asegurar la ejecución en tiempo de las operaciones para satisfacer las necesidades de información

De la documentación y manuales de usuario y operación del sistema

Con los sistemas ya operativos debe elaborarse una biblioteca con la documentación, copias autorizadas indicando lo que se hizo. Manuales para distintos tipos de personas (administradores, bibliotecarios, administrativos, operadores) según estándares y normas.

De la conversión de archivos

Prepara archivos magnéticos que se convertirá al formato del nuevo medio. Se debe planificar, validar la carga a los nuevos archivos, probar los prog utilizados para la conversión, personal capacitado, completo control en los periodos de carga de los nuevos archivos, identificación de errores y su tratamiento

De las pruebas del sistema

Los programadores enlazan sus programas para formar un subsistema que se probara para garantizar su cometido. Los datos de prueba deben reflejar todas las variantes y errores, comprobar resultados reales y previstos, demostrar que el sistema hace lo que debería hacer, verificar que los datos de prueba no sean corruptos

De la implantación

Se efectúa un paralelo con pruebas de la realidad es una ampliación de la etapa de prueba. Comprobar la calidad de las verificaciones, causas de errores, correcciones y modificaciones

De la continuidad del sistema

Los sistemas deben ser capaces de funcionar en todo momento, cualquier tipo de problemas tal vez retrase o haga más lenta la operación pero el sistema debe continuar funcionando.

Controlar los procedimientos alternativos, retorno al trabajo normal, copias de seguridad, instrucciones, recuperación, etc.

Seguridad en los sistemas informáticos que son los controles correctivos, que características tienen, de ej.

Definición de control

Control es la capacidad de ejercer o dirigir una influencia sobre una situación dada o un hecho. Algunos controles son pasivos en naturaleza otros son activos esto es, que algunos no requieren reglamentación antes de tomar una acción ya planeada

Ej. de control el uso de paswords

Los controles correctivos determinan una acción correctiva para el agente causal (tercer grupo)

Generalmente aparecen con los controles de detección para impedir que ocurran mas errores

Muchos controles correctivos son del tipo de gestión, o sea, que requieren principios establecidos, procedimientos y programas para ejecutarlos

Características

Toman medidas para resolver un problema
Recomponen para volver a procesar
Son costosos

Costo: cada vez que los controles y exposiciones están determinados y valorados, la dirección decidirá la cantidad de dinero disponible para el control contra el riesgo que están dispuestos a aceptar

El costo de un sistema de seguridad de datos es el costo de los controles necesarios para limitar la exposición

Seguridad es la protección de los datos de la revelación no autorizada, modificación y/o destrucción (accidental o intencional).

Es beneficioso desarrollar un plan para el conocimiento de los elementos en seguridad de datos, antes de planear, diseñar o analizar cualquier sistema de información

Seguridad de los sistemas informáticos que son los controles preventivos, caract, ej.

Ofrecen una primera barrera contra las corrupciones que puedan ocurrirle a un dato y que tiene las siguientes características

Son pasivos (no requieren retroalimentación, por ejemplo cuando se desactivan las terminales por un tiempo

Solo examinan un cierto porcentaje de violaciones

Reducen la frecuencia de amenazas (un control preventivo puede ser auditoria, antecedentes del personal, detectores de incendios, vidrios irrompibles y generalmente son económicos)

Seguridad en los sistemas informáticos que son los controles detectivos, características, ejemplos

Ofrecen una segunda línea de defensa, actúan después del hecho y están diseñados para detectar la presencia de un agente causal y son pocos eficaces por si mismos ya que anotan un incidente, que si no es tomada una acción correctiva, e3l riesgo de exposición continua.

Características

Dispara una alarma

Registran la incidencia de amenazas

Alertan al personal

Someten a prueba la operación del control preventivo

Seguridad en los sistemas informáticos, que propiedades deben tener un sistema para garantizar un nivel aceptable de riesgo

Integridad : el sistema debería hacer los que se supone que debe hacer
El sistema debería poseer todos los elementos de información completa en su totalidad
Auditabilidad: permite a un auditor verificar su actividad con facilidad relativa en cualquier momento
Controlabilidad: permite a la dirección ejercer su influencia ordenada o restringida sobre su uso, su comportamiento o su contenido

Seguridad....que es la exposición de datos, cuales son las básicos, de ejemplos

Es el resultado o las consecuencias par a los datos de acciones adversas o sucesos. Hay un sin fin de causales y de cosas que pueden ocurrirles a los datos ejemplos:

Una revelación accidental: distribuir un listado a un lugar donde no debería ir, transmitir datos a una terminal equivocada
Una modificación accidental que puede darse por un mal funcionamiento del hw o sw
Una destrucción accidental: se cayo el pack de discos y se rompió
Revelación intencional vender información
Modificación intencional
Destrucción intencional robo, sabotaje

Seguridad en los sistemas .... que significa limitar el riesgo de los datos, como se puede lograr limitar el riesgo

La clave para la seguridad de los datos depende de nuestra capacidad para limitar los riesgos, no al extremo de hacer inaccesible y no operativo al sistema, aunque cualquier sistema que sea accesible también es un riesgo

Uno de los mecanismos para limitar el riesgo es limitar los datos. La mejor manera de servir al usuario es darle lo que necesita. Para eso, hay que educar al usuario en cuanto al beneficio de la protección y seguridad de los datos

Otro elemento par evitar el riesgo es el dominio del control, es decir, so las áreas pueden ser controladas

Otro elemento a asignar responsabilidad individual para cada actividad que ocurre en el entorno del sistema y disponer de un registro de problemas

Seg...que es la exposición de los datos, como se elimina el riesgo de las exposiciones de datos

Idem anterior

Segu....que es el SAFE, que pasos o puntos de control define el SAFE en un proceso de información acerca de los sistemas

Los puntos de control nos sirven para ayudar a la identificación y definición de las necesidades de control

Definimos al Safe como la metodología que ideo IBM para determinar todos los puntos de control de datos

Reunión de los datos

Movimiento de entrada de datos

Conversión de esos datos

Comunicación de datos de entrada

Recepción de los datos

Proceso de esos datos

Preparación de los datos de salida

Movimientos de salida de datos

Comunicación de datos de salida

Utilización de los datos

Disponibilidad de los datos

Seg.... que es la seguridad de los datos, que debe definir la alta dirección para elaborar la política de seguridad de los datos de la organización

Establece las responsabilidades de seguridad par ala generación, manipulación, servicio y uso de la información.

la política debe ser apoyada por normas, reglamentos y procedimientos que deben establecer la dirección

en cuanto a planes, nos podemos referir al

plan de registros vitales,
plan de control de accesos (físicos o lógicos)
plan de rpta de emergencia(cuando hay perdida de capacidad)
plan de tratamiento interno(como mantener la inf con esa perdida de capacidad)
plan de restauración para volver a su capacidad normal

en cuanto a programas ejemplo

un programa de clasificación de los datos (seguridad y costo de datos)
un programa de asignación de riesgos fijar la responsabilidad de cada riesgo

Explique la metodología de matrices de control. Elabore un ej. con: Matriz de comunicaciones de datos ..Recurso/activos . Modems

Controles.

Usar una transmisión digital de datos, debido a que tiene una tasa menor de errores que la transmisión analógica

Revisar el contrato de mantenimiento y el tiempo medio de servicio acordados con el proveedor con el objeto de obtener una cifra de control constante para ser usada en todo el equipo de comunicaciones de datos
Transmitir los mensajes con prontitud para reducir el riesgo de la perdida
Hacer saber la buena o mala recepción de los mensajes
Considerar el llevar un registro de los mensajes que llegan y salen a lugares remotos
Ver al tiempo de registrar los que cada mensaje interno o externo vaya numerado en serie así como que lleve estampados la hora y la fecha
Con respecto a la seguridad de los datos, considerar el criptografiar todos los mensajes transmitidos
Establecer si hay una política para el uso del equipo de prueba

Explique la metodología de .... Recurso/exposición: la seguridad de la computadora

Salvar una copia de la bitácora de la consola de la computadora y de la bitácora de salida del sistema para una revisión posterior. Estas dos bitácoras pueden servir como un camino de auditoria en relación a lo que fue alimentado a la computadora y acerca de las diversas ordenes del operador
Asegurar que haya un plan para las operaciones de procesos de datos en caso de un desastre total
Fortalecer continuamente la integridad de individuos a través de la educación y el entrenamiento. Esto se puede hacer mejor por medio de la educación continua de los individuos en las áreas de la seguridad y eficiencia
Conducir un análisis de riesgo para identificar programas críticos y controlar fuertemente estos programas o sistemas
Asegurar que haya una especie de reporte de utilización de maquinas para identificar al menos el trabajo que se este corriendo al operador de la computadora presente, si fue o no llamado el programador, el tiempo usado de computadora y condiciones usadas durante la corrida
Revisar los organigramas para asegurar que la organización es funcional y que puede operar exitosamente dentro de los confines de la organización
Asegurar que existe una documentación adecuada para todos los sistemas y programas
Asegurar que haya políticas escritas respecto a los accesos de cada persona

Control de datos concierne a /expuesto a seguridad/robo

Identificar cada mensaje por una clave individual de usuario, por la terminal y por el número de secuencia de mensaje
Utilizar controles de seguridad física a través del circuito de comunicación de datos: usos de cerradura, guardias, insignias, sensores, alarmas, y medidas de administración para proteger los servicios físicos, los circuitos de comunicación de datos
Considerar los siguientes controles especiales en módem que tengan marcados telefónicos y cuando el circuito de comunicación de datos permita conexiones usando un disco marcador de tipo telefónico
Verificar la configuración de la lista de prioridades de cada terminal
Asegurarse de que en los lugares remotos haya una protección adecuada especialmente para las terminales, concentradores multiplexores y procesadores frontales
Asegurarse que los equipos realicen verificaciones de identificación electrónicas de las terminales

Control de datos Riesgo/exposición ERRORES

Ejemplo de la matriz de comunicación de datos para el recurso software: identificar las opciones de omisión contenidas en el sw y su impacto si no se operan apropiadamente

Para la matriz de programas /procesos

Recurso programas: hacer que el programa recalcule los diversos totales contables o financieros significativos y los retransmita a la estación original

Verificar el nro. de secuencia de los programas.

Verificar la cantidad de transacciones con el sistema central y las estaciones remotas.

Concierne a/exposición: privacia

Recurso terminal /inteligencia distribuida: identificar cada mensaje por una clave individual de usuario por la terminal y por el nro. de secuencia del mensaje

Control de datos . que son los controles programados de los datos , enumere los distintos tipos de ej.

Los controles de validaciones programadas son rutinas que se escriben en los programas para verificar el proceso de los datos. El hecho de que los datos hayan sido validados no impide que se vuelvan a verificar en otras etapas.

Las validaciones pueden tener lugar en las etapas siguientes

Mientras los datos se están utilizando fuera del sistema mecanizado. O con equipos especializados o con procesamiento distribuido (tiene la ventaja de que los errores se descubren muy cerca de su origen y cuando aún existe documentación sobre los datos) Las correcciones se hacen con rapidez y con bajo costo antes de que los errores afecten a otros registros
Mientras se preparan los datos
Durante pasadas de consistencia en el ordenador
Durante pasadas actualización en el ordenador
Durante los controles de salida

Control de datos. los datos pasan de la parte manual a la mecanizada por el área de control de datos , cual es la misión de esta área y que debe verificar el auditor informático.

Cuando los datos pasan de la parte manual de la empresa a la parte mecanizada, lo hacen normalmente por la sección de control de datos:

La misión de esta sección será generalmente:

Preparar una programación del flujo de datos a lo largo del sistema
Registrar los lotes u otros datos de control de flujo de datos a lo largo del sistema
Controlar el flujo de trabajos que entra y que sale de las secciones de preparación de trabajos
Ejercer el control de procedimientos sobre el proceso de datos
Mantener un registro maestro de los errores detectados en los datos de procedimientos de validación y asegurarse de que tales errores se eliminan
Comprobar las cifras de control de todas las pasadas en el computador, comparándolas con los datos que se prepararon en la sección de control
Los lotes de entrada al computador incluirán
Identificación del lote
Enlace del lote al proceso que lo vaya a tratar
Proporcione datos de control adecuados
Que indique que se han cumplido todos los procedimientos que se hayan especificados

El control de los datos es para que solo pasen por los canales que corresponden, esto mejora la seguridad del proceso porque es más probable que los datos que se estén manejando sean correctos y hayan sido autorizados
Se pueden establecer canales autorizados para los datos y exigir que los destinatarios verifiquen el origen para ver si es valido
Para ello es necesario que dicho origen pueda identificarse y que ciertos tipos de datos solo puedan venir de determinadas secciones o personas
La sección de control verificara si son correctos los canales de datos que entran al computador
Uno de los cometidos de tal sistema seria mantener separados los datos que estuviesen relacionados, de forma tal que no pudieran conectarse entre si hasta que estuviesen en la etapa de proceso y así el control de flujo de datos pasaría a ser un tipo de control interno
La sección de control de datos deberá llevar a cabo la operación de los controles de proceso. Los valores totales de la información que se va a utilizar se tomaran de los registros de control de empleados y esto se cotejaran con lo que calcule la computadora, que deberían imprimirse al final de cada pasada
No se permitirá que los datos pasen de un proceso a otro hasta que la sección de control de datos no haya aceptado
La tarea del auditor informático es asegurar que exista un nivel adecuado de control de datos en general y de que el sistema es fiable. Esto significa que debe señalar los problemas y llegar a una conclusión de control adecuado

Tal vez te pueda interesar:

Descargar

Enviado por:	Myracle
Idioma:	castellano
País:	España

Palabras clave:

Planear auditoría Auditoría informática Fases Causas Administración

Te va a interesar