Date post: | 21-Jan-2018 |
Category: |
Education |
Upload: | sena810561 |
View: | 335 times |
Download: | 0 times |
PRESENTADO POR:
CAMILO MORA
FABIO BAJONERO
XIMENA FARFAN
DEFINICION:
La auditoría en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de
informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que
participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos
alternativos se logre una utilización más eficiente y segura de la información que servirá para una
adecuada toma de decisiones.
PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA
Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a
evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá
incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el
desarrollo de la misma.
INVESTIGACIÓN PRELIMINAR
Se deberá observar el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización.
Se debe hacer la investigación preliminar solicitando y revisando la información de cada una de las áreas basándose en los siguientes puntos:
ADMINISTRACION
SISTEMAS
PASOS A SEGUIR
El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoria que consta de objetivos de control y procedimientos de auditoria que deben satisfacer esos objetivos. El proceso de auditoria exige que el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditoria que presente esos temas en forma objetiva a la gerencia.
OBJETIVO GENERAL DE LA AUDITORIA DE SISTEMASBuscar una mejor una relación costo- beneficio de los sistemas automáticos o computarizados diseñados e implementados por el PAD.
Incrementar la satisfacción de los usuarios de los sistemas computarizados
Asegurar una mayor integridad, confidencialidad y contabilidad de la información mediante la recomendación de seguridades y controles.
OBJETIVOS ESPECIFICOS:
Conocer la situación actual del área informática y las actividades, esfuerzos necesarios para lograr los objetivos propuestos
Seguridad del personal, datos , hardware, software, e instalaciones.
Minimizar existencias de riesgos en el uso de tecnología de la información.
Capacitación y educación sobre los controles en los sistemas de información
AUDITORIA
Auditoría de sistemas a la base de datos del Sistema de Información para la Participación Ciudadana – SIPAR, de la contraloría General de la República.
Realizar una auditoría de sistemas a la base de datos del Sistema de Información para la Participación
Ciudadana – SIPAR, perteneciente a la Contraloría General de la República, aplicando la metodología de
auditoría basada en el análisis de riesgos, utilizando técnicas y herramientas adecuadas para auditar este
componente componente,
OBJETIVOS ESPECIFICOS
Aplicar la metodología para la realización de auditorías de sistemas basada en el análisis de riesgos, cubriendo todos los pasos desde la obtención de la información hasta la presentación del informe final con los resultados obtenidos.
Verificar si se han identificado los riesgos que se pueden presentar en la base de datos a auditar y los controles respectivos, con el fin de corroborar su efectividad o sugerir las correspondientes mejoras.
.
El sistema de información sipar entra en funcionamiento en el 2010, al interior de la contraloría y se dispuso para la ciudadanía en en 2011
Sistema de apoyo para el enlace con clientes y partes interesadas que requieran un seguimiento sobre su funcionamiento e identificar posibles fallas que suministren información exacta sobre los temas, como las denuncias interpuestas por la ciudadanía ante la entidad.
DESARROLLO DE LA AUDITORIA
Obtención y documentación del conocimiento sobre el área. contraloría general y sus funciones
evaluación de riesgos de la auditoria los riesgos que se podrían correr en el desarrollo de la auditoria
Planeación general de la auditoría. Se realizó el cronograma e identificaron recursos necesarios para llevar a cabo la auditoría.
Planeación detallada de la auditoría. Se definió el objetivo general, los objetivos específicos, el alcance
DESARROLLO DE LA AUDITORIA
Revisión preliminar del área Se realizó una encuesta con funcionarios claves, consultando sobre punto importantes.
Evaluación del área/objeto de auditoría. Se identificaron los riesgos a los que puede estar expuesta la base de datos.
Verificación y evaluación de los controles diseñados para minimizar cada uno de los riesgos Una vez identificados los riesgos y sus causas que se podrían presentar en la base de datos, se identificaron los controles que deberían existir
Divulgación de información confidencial
Daño o pérdida de activos
Interrupción del servicio
Pérdida de credibilidad
Mala toma de decisiones
RIESGOS:
EVIDENCIAS
Causa: Indisponibilidad del servicio debido a fallas de acceso a la base de datos por parte de la aplicación que impide que los ciudadanos realicen las denuncias.
Control: Verificar que la base de datos está operando y que la aplicación la tiene configurada correctamente, que existen logs que indiquen fallas y se toman las medidas a que haya lugar.
Resultado: Este control resulta insuficiente, puesto que no se hace una revisión constante de los logs
EVIDENCIAS
Causa: Falta de un sitio alterno para el centro de cómputo en donde se ubica la base de datos en caso de desastre.
Control: Verificar que la entidad tiene un contrato que le permite mover la base de datos a un sitio alterno en caso de desastre
Hallazgo: Se debe implementar este control y llevar a cabo el contrato o convenio que permita garantizar que en caso de desastre la base de datos puede ser reubicada rápidamente, sin interrumpir los procesos que hacen uso de ella.
EVIDENCIAS
Causa: Falta de un adecuado procedimiento de backups
Control: Verificar que existen políticas y procedimientos de backup que permitan salvaguardar la información
Recomendación: Realizar las copias de seguridad por lo menos en tres medios de almacenamiento
CONCLUSIONES DE LA AUDITORIA:
Se deben realizar controles preventivos , correctivos y detectivos
Correctivos: Implementación de mecanismos que impidan el doble registro de información.
Preventivos: Definir un sitio alterno externo para garantizar la continuidad en caso de desastre.
Detectivos: Realizar la revisión periódico de logs
BIBLIOGRAFIA
PROYECTO PRÁCTICA INVESTIGATIVA, SANDRA DEL PILAR CHUQUÍN BADILLO, UNIVERSIDAD ANTONIO NARIÑO, ESPECIALIZACIÓN EN AUDITORÍA DE SISTEMAS, BOGOTÁ, D.C., 2011
http://www.monografias.com/trabajos16/auditoria-de-informacion/auditoria-de-informacion.shtml
PRINCIPIOS DE AUDITORIA INSTITUCIÓN UNIVERSITARIA DE ENVIGADOFACULTAD DE CIENCIAS EMPRESARIALESCONTADURÍA PÚBLICA