Creadores
Juan Linares C.I: 21.504.360
Eduardo Perez C.I: 20.920.956
Josè Calderòn C.I: 19.779.459
Tutora
Rossibel Toro
Especialidad
Auditoria de Sistemas
Escuela
Informatica. 4to Semestre
Tipos de auditoria
Los servicios de auditoría pueden ser de distinta índole:
• Auditoría de seguridad interna. En este tipo de auditoría se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno
• Auditoría de seguridad perimetral. En este tipo de análisis, el perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores
• Test de intrusión. El test de intrusión es un método de auditoría mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento fundamental para la auditoría perimetral.
• Análisis forense. El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperabilidad del sistema, el análisis se denomina análisis postmortem.
• Auditoría de páginas web. Entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de código SQL, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.
• Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado
Realizar auditorías con cierta frecuencia asegura la integridad de los controles de seguridad aplicados a los sistemas de información. Acciones como el constante cambio en las configuraciones, la instalación de parches, actualización de los softwares y la adquisición de nuevo hardware hacen necesario que los sistemas estén continuamente verificados mediante auditoría.
• Auditoría de seguridad interna. En este tipo de auditoría se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno
• Auditoría de seguridad perimetral. En este tipo de análisis, el perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores
• Test de intrusión. El test de intrusión es un método de auditoría mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento fundamental para la auditoría perimetral.
• Análisis forense. El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperabilidad del sistema, el análisis se denomina análisis postmortem.
• Auditoría de páginas web. Entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de código SQL, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.
• Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado
Realizar auditorías con cierta frecuencia asegura la integridad de los controles de seguridad aplicados a los sistemas de información. Acciones como el constante cambio en las configuraciones, la instalación de parches, actualización de los softwares y la adquisición de nuevo hardware hacen necesario que los sistemas estén continuamente verificados mediante auditoría.
Conocimiento de la Empresa
Es importante conocer la empresa que se va a auditar por 3 razones :
1-Requerimientos de contabilidad distintos en las diferentes empresas.
2-Identificacion del riesgo aceptable de la auditoria que realice el auditor o si es aconsejable auditar otras empresas igual.
3-Los riesgos inherentes a las empresas de una misma industria.
El conocimiento de la industria del cliente se obtiene de varias formas. Entre estas se incluyen conversaciones con el auditor que fue responsable del compromiso en años anteriores y auditores que tengan con-tratos en la actualidad que sean similares.
Los archivos permanentes del auditor a menudo incluyen el historial de la compañía, una lista de las principales actividades del cliente y un archivo de las políticas de contabilidad en años
anteriores.
1-Requerimientos de contabilidad distintos en las diferentes empresas.
2-Identificacion del riesgo aceptable de la auditoria que realice el auditor o si es aconsejable auditar otras empresas igual.
3-Los riesgos inherentes a las empresas de una misma industria.
El conocimiento de la industria del cliente se obtiene de varias formas. Entre estas se incluyen conversaciones con el auditor que fue responsable del compromiso en años anteriores y auditores que tengan con-tratos en la actualidad que sean similares.
Los archivos permanentes del auditor a menudo incluyen el historial de la compañía, una lista de las principales actividades del cliente y un archivo de las políticas de contabilidad en años
anteriores.
Planificación
La primera norma de auditoría generalmente aceptada del trabajo de campo requiere de una planificación adecuada.
La auditoria se debe planificar de forma adecuada y los ayudantes, si es que se tienen se deben
Supervisar en forma correcta.
Existen tres razones por las cuales el auditor planea adecuadamente sus compromisos : para permitir que el auditor obtenga las evidencias suficientes y competentes y suficientes para las circunstancias, ayudar a mantener los costos a un nivel razonable y evitar malos entendidos con el cliente.
Hay 7 partes importantes de la planificación de la auditoria :
• Plan previo
• Obtención de antecedentes de el cliente
• Obtener información sobre las obligaciones legales del cliente
• Realización de procedimientos analíticos preliminares
• Evaluación de la importancia y el riesgo
• Conocimiento de la estructura del control interno
• Evaluación del riesgo de control
La auditoria se debe planificar de forma adecuada y los ayudantes, si es que se tienen se deben
Supervisar en forma correcta.
Existen tres razones por las cuales el auditor planea adecuadamente sus compromisos : para permitir que el auditor obtenga las evidencias suficientes y competentes y suficientes para las circunstancias, ayudar a mantener los costos a un nivel razonable y evitar malos entendidos con el cliente.
Hay 7 partes importantes de la planificación de la auditoria :
• Plan previo
• Obtención de antecedentes de el cliente
• Obtener información sobre las obligaciones legales del cliente
• Realización de procedimientos analíticos preliminares
• Evaluación de la importancia y el riesgo
• Conocimiento de la estructura del control interno
• Evaluación del riesgo de control
Clasificación
CLASIFICACIÓN DE AUDITORIA
1º En FUNCIÓN DEL PROFESIONAL que la lleva a cabo: a) Externa
b) Interna
c) Gubernamental
2º OTRO PRISMA:
a) Auditoría financiera
b) operativa
c) de cumplimiento o ejecución
EN FUNCÓN DEL PROFESIONAL
1.- AUDITORÍA EXTERNA
a) AUDITORÍA DE REGULARIDAD:
- financiera
- operativa
- de cumplimiento de legalidad
b) AUDITORIA OPERATIVA
- eficacia
Objetivos Generales
1. Participación en el desarrollo de nuevos sistemas:
• evaluación de controles
• cumplimiento de la metodología.
2. Evaluación de la seguridad en el área informática.
3. Evaluación de suficiencia en los planes de contingencia.
• respaldos, prever qué va a pasar si se presentan fallas.
4. Opinión de la utilización de los recursos informáticos.
• resguardo y protección de activos.
5. Control de modificación a las aplicaciones existentes.
• fraudes
• control a las modificaciones de los programas.
6. Participación en la negociación de contratos con los proveedores.
7. Revisión de la utilización del sistema operativo y los programas
• utilitarios.
• control sobre la utilización de los sistemas operativos
• programas utilitarios.
• evaluación de controles
• cumplimiento de la metodología.
2. Evaluación de la seguridad en el área informática.
3. Evaluación de suficiencia en los planes de contingencia.
• respaldos, prever qué va a pasar si se presentan fallas.
4. Opinión de la utilización de los recursos informáticos.
• resguardo y protección de activos.
5. Control de modificación a las aplicaciones existentes.
• fraudes
• control a las modificaciones de los programas.
6. Participación en la negociación de contratos con los proveedores.
7. Revisión de la utilización del sistema operativo y los programas
• utilitarios.
• control sobre la utilización de los sistemas operativos
• programas utilitarios.
Características
1- Es objetiva: significa que el examen es imparcial, sin presiones ni halagos, con una actitud mental independiente, sin influencias personales ni políticas. En todo momento debe prevalecer el juicio del auditor, que estará sustentado por su capacidad profesional y conocimiento pleno de los hechos que refleja en su informe.
2- Es Sistemática y profesional: La auditoría debe ser cuidadosamente planeada y llevada a cabo por Contadores Públicos y otros profesionales conocedores del ramo que cuentan con la capacidad técnica y profesional requerida, los cuales se atienen a las normas de auditoria establecidas, a los principios de Contabilidad generalmente aceptados y al código de Ética Profesional del Contador Público.
Concepto de Auditoria de Sistemas
La palabra auditoría viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oir y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación.
Algunos autores proporcionan otros conceptos pero todos coinciden en hacer énfasis en la revisión, evaluación y elaboración de un informe para el ejecutivo encaminado a un objetivo específico en el ambiente computacional y los sistemas.
Suscribirse a:
Entradas (Atom)