18 Sep

Auditoria:


evalúa las diversas operaciones y controles de una organización, para determinar si se siguen las políticas y procedimientos aceptables, las normas establecidas, los recursos eficientemente y si se han alcanzado los objetivos de la organización.

Tipos de auditorías
:

Financieras – Informatica-
Verificativas-
Operativas o Gestión-
Técnicas.

  • Financiera:


    asegura el adecuado registrode las transacciones, el cumplimiento de los principiosdeContabilidadgeneralmente aceptados y los planesy regulaciones contables y financieros,que obligan a la organización.

  • Informática evalúa y comprueba los controlesy procedimientos informáticos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso de software.

  • Verificativas:

    tratan de asegurar a la direccióndelaorganización,quesuspolíticas,programasy normas se cumplen razonablemente en todo el ámbito de la misma.

  • Operativa o de Gestión es una revisión que comprende lasactividades,sistemasy controles dentro de la empresa paraconseguireconomía,eficiencia,eficacia u otros objetivos.

  • Técnica o de Métodos es una revisióndelosmétodos y técnicasutilizadasen la realización de las operaciones de la empresa.

Auditores

La auditoría interna constituye una función de evaluación independiente. Examinar y evaluar las actividades de la organización o entidad. La función principal del auditor interno es ayudar a la dirección en la realización de sus funciones, asegurando:

  • La salvaguardia del inmovilizado material e inmaterial de la entidad.
  • La exactitud y fiabilidad de los registros contables.
  • El fomento de la eficiencia operativa
  • La adhesión a las políticas de la entidad y el cumplimiento de sus obligaciones.

La auditoría externa constituye una función de evaluación independiente y externa a la entidad que se examina. En la mayoría de las empresas, se contrata anualmente la realización de una auditoría de los estados financieros.

Elobjetivoprincipaldeuna auditoria externa es la expresión de una opinión respecto de la calidad de los estados financieros de la entidad, por lo que el auditor externo se ocupa principalmente de la fiabilidad de la información financiera.

El auditor informático pone a disposición de la función auditora, sea externa o interna, sus conocimientos técnicos de informática.

  • Actividades típicas del auditor informático
  1. Auditoría de la gestión de los S.I./T.I.
  2. Auditoría de los sistemas en desarrollo
  3. Auditoría de los Centros de Proceso de Datos
  4. Auditoria de las Aplicaciones
  5. Apoyo a los auditores no informáticos.

Conceptos de Auditoria Interna

  • Hoy la auditoría interna es:
    • Una  unidad  con  atribuciones  y  facultades  para  auditar  todas  las operaciones de las organizaciones.
    • Situada en el organigrama en dependencia directa de la alta dirección.
    • Con la finalidad de asegurar el control interno influyendo en la gestión de las mismas.
    • Servida por personal altamente cualificado, con un conocimiento global de las organizaciones.
    • Actuando como control de los restantes controles de la organización.
    • Independiente          para       la      formulación         de      sus       opiniones        y recomendaciones.
    • Trabajando con arreglo a la previa y autorizada planificación anual de sus informes y actividades.
  • El alcance de la auditoría interna debe abarcar el examen y evaluación de la adecuación y efectividad del sistema de control interno y la calidad de la de ejecución en la realización de las responsabilidades asignadas.
  • Losauditoresinternosdeben ser independientes de las actividades que auditen.

    Los auditores son independientes cuando pueden realizar su trabajo libre y objetivamente

  • Diseñar, instalar y manejar sistemas no son funciones de auditoría.

Conceptos de Auditoria Externa

Serviciopúblicoprestadopor profesionales cualificados en contaduría, que consiste en la realización, según normas y técnicas específicas, de una revisión de los estados financieros de la empresa, a fin de expresar su opinión independiente sobre si tales estados presentan adecuadamente la situación económico-financiera de dicha empresa en un momento dado, sus resultados y los cambios en ella.

  • La auditoría externa exige personas que no pertenezcan a la empresa.

Losobjetivosdelaauditoríaexterna es expresar una opinión sobre los estados financieros de la empresa auditada, referida a un ejercicio determinado, mientras que los objetivos de la auditoría interna sonmúltiplesy variados, no limitándose al área económico-financiera

Los trabajos de auditoría externa se desarrollan de acuerdo con normas y procedimientos internacionalmente homologados quenosuelenser substancialmente alterados ni modificados.

Los trabajos de auditoría interna sonmuchomás flexibles y dependen, en cada caso, de la empresa, sus dirigentes y de los propios responsables de auditoría interna.

Laauditoríainternadebemantenerbuenas relaciones con todas las unidades y centros de la empresa, así como conocer su funcionamiento con cierta precisión.

La modernidad de un departamento de auditoría interna exige tener buenas relaciones con los auditores externos.
Los aspectos fundamentales en torno a los cuales debe girar dicha colaboración son:

  • Coordinaciónde sus trabajos

  • Intercambiode experiencias e información


  • Discusiónde las conclusiones


  • Demanda de la colaboración


     

Metodología de Auditoria Informática

  1. Identificarel Alcancey los Objetivos de la Auditoría Informática (A.I.) –Auditordebe comprender con exactitud los deseos y pretensiones del cliente, para cumplir con los objetivos
  2.  RealizarelEstudioInicialdelentornoa auditar-Examinar  situación  general  de  funciones  y  actividades  generales  de  la informática-Estructura organizativa del Departamento de Informática a auditar.-Organigrama: estructura informática de la organización a auditar
  3. Determinar los Recursos necesarios para realizar la auditoría-A partir del Estudio Inicial, se determinan los recursos humanos y materiales
  4. Elaborar el Plan de Trabajo-Calendario de actividades a realizar aprobado por responsables de área y de auditoría
  5.  Realizar las Actividades de Auditoría -Revisión  -Entrevistas -Simulación -Muestreos 
  6. RealizarelInforme Final
    Relación con los Estándares-Estándar 070.010: Contenido e Impreso del Informe
  7. Carta de Presentación y Carta de Manifestaciones.

Auditoria en Base de Datos

¿Quéesla Auditoría de BD?


  • Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en la base de datos incluyendo la capacidad de determinar:
  • – Quién accede a los datos
  • – Cuándo se accedíó a los datos
  • – Desde qué tipo de dispositivo/aplicación
  • – Desde que ubicación en la Red
  • – Cuál fue la sentencia SQL ejecutada
  • – Cuál fue el efecto del acceso a la base de datos
  •  Es uno de los procesos fundamentales para apoyar la responsabilidad delegada a IT por la organización frente a las regulaciones y su entorno de negocios o actividad.

¿Quiénes participan en la Auditoría de Base de Datos?

  • Auditores de Sistemas – Tecnología de Información – Cumplimiento Corporativo
  • Riesgo Corporativo – Seguridad Corporativa
    • Términos similares a Auditoría de Base de Datos
  • Auditoría de Datos                 – Monitoreo de Datos
  • ConlaauditoríadeBD se busca
  1. Monitorear y registrar el uso de los datos por los usuarios autorizados o no o Mantener trazas de uso y del acceso a bases de datos

  2. Permitir investigaciones

  3. Generaralertasen tiempo real 
  • Losesfuerzosen seguridad de BD están orientados a:
  1. Impedir el acceso externo
  2. Impedir el acceso interno a usuarios no autorizados
  3.  Autorizar el acceso sólo a los usuarios autorizados

 

M e todolo gías par a la Aud itor í a de BD ’s

  • Metodología Tradicional: En esta metodología el auditor revisa el entorno con la ayuda de una lista de control (checklist), que consta de una serie de cuestiones a verificar. Por ejemplo:

    S N NA

    > El auditor registra el resultado:
    S, afirmativo, N negativo o NA (no aplicable).
  • Metodología de Evaluación de Riesgos: Este tipo de metodología, conocida también por Risk Oriented Aproach, es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno.
  • Un objetivo de control puedellevar asociadas varias técnicas que permiten cubrirlo en su totalidad. Estas técnicas pueden ser preventivas, detectivas o correctivas.
  • En caso de que los controles existan, se diseñan unas pruebas que permiten verificar la consistencia de los mismos

PRUEBA DE CUMPLIMIENTO


Listar los privilegios y perfiles existentes en el SGBD. Si estas pruebas detectan inconsistencias en los controles.

PRUEBA SUSTANTIVA


Comprobar si la información ha sido corrompida comparándola con otra fuente, o revisando, los documentos de entrada de datos y las transacciones que se han ejecutado.

Por último, el auditor deberá emitir una serie de COMENTARIOS donde se describa la situación, el riesgo existente y la deficiencia a solucionar que ha tenido la auditoria.

Seguridad de Bases de Datos

SEGURIDAD es la capacidad del Sistema para proteger Datos, Servicios y Recursos de usuarios no autorizados. Debe garantizar la protección o estar libre de todo peligro y/o daño y que en cierta manera es infalible.

  • Confidencialidad


    : nos dice que los objetos de un sistema han de  ser accedidos únicamente por elementos autorizados a ello.

  • Integridad:

    significa que los objetos sólo pueden ser modificados por elementos autorizados .

  • Disponibilidad:

    indica que los objetos del sistema tienen que permanecer accesibles a elementos autorizados.

 TIPOS DE SEGURIDAD

  • Discrecional:


    Se usa para otorgar y  revocar  privilegios a los usuarios a nivel de archivos, registros o campos en un modo determinado.

  • Obligatoria

    Sirve para imponer seguridad de varios niveles tanto para los usuarios como para los datos.

Etiquetas: , , , , , , ,

Deja un comentario