Aud
itorí
a In
form
átic
a:
Aud
itorí
a In
form
átic
a:
Dic
tam
en d
e la
Aud
itorí
aD
icta
men
de
la A
udito
ría DDictamen de la ictamen de la
AAuditoría uditoría IInformáticanformática
Aud
itorí
a In
form
átic
a:
Aud
itorí
a In
form
átic
a:
Dic
tam
en d
e la
Aud
itorí
aD
icta
men
de
la A
udito
ría
AAuditoría uditoría IInformáticanformática
Aud
itorí
a In
form
átic
a:
Aud
itorí
a In
form
átic
a:
Dic
tam
en d
e la
Aud
itorí
aD
icta
men
de
la A
udito
ría
Una vez que el proyecto de auditoría ha terminado se procede a la elaboración de un documento final que refleje las
observaciones, debilidades, áreas de oportunidad, acciones de mejoramiento, plazos sugeridos para su realización,
responsables y personas involucradas.
¿A quiénes va dirigido?
Aud
itorí
a In
form
átic
a:
Aud
itorí
a In
form
átic
a:
Dic
tam
en d
e la
Aud
itorí
aD
icta
men
de
la A
udito
ría
•Director del negocio o gerente general.•Director o gerente de las áreas usuarias auditadas.•Director o gerente de informática.•Director o gerente de auditoría en informática.•Director o gerente de auditoría (si a si lo establecen las políticas de la empresa.)
Aud
itorí
a In
form
átic
a:
Aud
itorí
a In
form
átic
a:
Dic
tam
en d
e la
Aud
itorí
aD
icta
men
de
la A
udito
ría
•Director o gerente de las áreas usuarias auditadas.•Director o gerente de informática.•Director o gerente de auditoría (si así lo establecen las políticas de la empresa.)
¿Quiénes revisan y aprueban el documento final?A
udito
ría
Info
rmát
ica:
A
udito
ría
Info
rmát
ica:
D
icta
men
de
la A
udito
ría
Dic
tam
en d
e la
Aud
itorí
a
Requisitos del informe de auditoría en informática.
•Ser veraz.•Estar documentado formalmente•Mostrar las observaciones (debilidades) encontradas•Contar con recomendaciones y soluciones para cada observación•Reflejar las áreas de oportunidad y cursos de acción
Aud
itorí
a In
form
átic
a:
Aud
itorí
a In
form
átic
a:
Dic
tam
en d
e la
Aud
itorí
aD
icta
men
de
la A
udito
ría
Desarrollo del Informe
Los puntos esenciales de un Informe de Auditoría son:
• Identificación del Informe• Identificación del Cliente • Identificación de la Entidad auditada • Objetivos de la Auditoría Informática
Aud
itorí
a In
form
átic
a:
Aud
itorí
a In
form
átic
a:
Dic
tam
en d
e la
Aud
itorí
aD
icta
men
de
la A
udito
ría
• Normativa aplicativa y excepciones • Alcance de la Auditoría • Conclusiones. Informe corto de opinión • Resultado. Informe largo y otros informes • Resultado • Fecha del Informe • Identificación y firma del Auditor • Distribución del Informe• Conclusiones
Aud
itorí
a In
form
átic
a:
Aud
itorí
a In
form
átic
a:
Dic
tam
en d
e la
Aud
itorí
aD
icta
men
de
la A
udito
ría
Modelo de un Informe de Auditoría
Fecha del Informe:
NOMBRE DE LA ENTIDAD Auditoría de ........
Objetivo .........
Lugar de la Auditoría ...........
Grupo de Trabajo de Auditoría ...........
Fecha de Inicio de la Auditoría..........
Tiempo estimado del proceso de revisión X hs
Aud
itorí
a In
form
átic
a:
Aud
itorí
a In
form
átic
a:
Dic
tam
en d
e la
Aud
itorí
aD
icta
men
de
la A
udito
ría
Fecha de Finalización de la Auditoría..........
Herramientas utilizadas ..........
Alcance ..........
Procedimientos a aplicar...........
Informe de debilidades detectadas ….
Aud
itorí
a In
form
átic
a:
Aud
itorí
a In
form
átic
a:
Dic
tam
en d
e la
Aud
itorí
aD
icta
men
de
la A
udito
ría
Situación planteada
• En una “Compañía de Seguros” se llevó a cabo la “Auditoría de una Base de Datos”. Esta BD operativa es utilizada por todos los sistemas existentes en la empresa.
Ejemplo de un Informe de Auditoría
Aud
itorí
a In
form
átic
a:
Aud
itorí
a In
form
átic
a:
Dic
tam
en d
e la
Aud
itorí
aD
icta
men
de
la A
udito
ría
• Se cuenta con una BD Oracle 7.3 instalada en un Server, al cual tienen acceso 40 terminales. Existen desarrolladores y usuarios finales que acceden a la misma por medio de la autorización otorgada por el DBA (Administrador de la BD).
Aud
itorí
a In
form
átic
a:
Aud
itorí
a In
form
átic
a:
Dic
tam
en d
e la
Aud
itorí
aD
icta
men
de
la A
udito
ría
Situación planteada
• Se observa que:- la BD tiene los siguientes objetos definidos: tablas, views (vistas) y sequence- el personal a cargo del mantenimiento de la BD realiza 1 copia de resguardo al final del día.
Ejemplo de un Informe de Auditoría
Aud
itorí
a In
form
átic
a:
Aud
itorí
a In
form
átic
a:
Dic
tam
en d
e la
Aud
itorí
aD
icta
men
de
la A
udito
ría
realiza 1 copia de resguardo al final del día.- hasta el momento, la BD cuenta con más de 2 millones de registros.
Aud
itorí
a In
form
átic
a:
Aud
itorí
a In
form
átic
a:
Dic
tam
en d
e la
Aud
itorí
aD
icta
men
de
la A
udito
ría
Fecha del Informe: 12 / 06 / 2008 Nombre de la Entidad: Seguros S.A. AUDITORIA DE UNA BASE DE DATOS ObjetivoControlar la definición y existencia de los objetos necesarios para la normal utilización de una BD y para mejorar su performance.Lugar de la Auditoría : Área de Sistemas Grupo de Trabajo de Auditoría : Lic. Jorge Gorostiza
Lic. Gustavo Barrientos
Informe de Auditoría
Aud
itorí
a In
form
átic
a:
Aud
itorí
a In
form
átic
a:
Dic
tam
en d
e la
Aud
itorí
aD
icta
men
de
la A
udito
ría
Lic. Gustavo BarrientosFecha de Inicio de la Auditoría : 12 / 05 / 2008Tiempo estimado del proceso de revisión : 30 hrs.Fecha de Finalización de la Auditoría : 19 / 05 / 2008Herramientas utilizadas - Metodología de auditoría de objetivos de control- Utilitarios estándar AlcanceControlar la definición y existencia de todos los objetos que son necesarios en la BD y que son utilizados por los distintos sistemas de la empresa.
Aud
itorí
a In
form
átic
a:
Aud
itorí
a In
form
átic
a:
Dic
tam
en d
e la
Aud
itorí
aD
icta
men
de
la A
udito
ría
Objetos
- ¿Las tablas definidas en el diseño coinciden con las fueron creadas en la BD teniendo en cuenta nombres de las tablas, columnas y tipos de datos de las columnas?- ¿Están definidas las claves primarias (PK) y claves externas (FK) de
Procedimientos a aplicar :A
udito
ría
Info
rmát
ica:
A
udito
ría
Info
rmát
ica:
D
icta
men
de
la A
udito
ría
Dic
tam
en d
e la
Aud
itorí
a
- ¿Están definidas las claves primarias (PK) y claves externas (FK) de c/ tabla existente?- ¿Existen las secuencias (sequences) correspondientes a la clave primaria (PK) de c/ tabla definida?- ¿La BD tiene vistas (views) respecto de algunas tablas?- Para mejorar el performance del sistema, ¿el DBA definió que sean necesarios según los casos?- ¿Existe documentación actualizada respecto del diseño e implementación de la BD?
Aud
itorí
a In
form
átic
a:
Aud
itorí
a In
form
átic
a:
Dic
tam
en d
e la
Aud
itorí
aD
icta
men
de
la A
udito
ría
Datos
-¿Con qué frecuencia se realiza una copia de resguardo (backup)
respecto de la BD?
- ¿Cada cuánto tiempo se realiza una actualización de los datos
existentes?
Aud
itorí
a In
form
átic
a:
Aud
itorí
a In
form
átic
a:
Dic
tam
en d
e la
Aud
itorí
aD
icta
men
de
la A
udito
ría
Usuarios
- ¿Cuántos usuarios tienen acceso a la BD?
- ¿Cuántos usuarios actúan como desarrolladores respecto de la BD?
- ¿Cuántos usuarios son usuarios finales de la BD?
- ¿Cuáles son los roles y privilegios establecidos por el DBA?
- ¿Todos los usuarios tienen definido un rol determinado?
Aud
itorí
a In
form
átic
a:
Aud
itorí
a In
form
átic
a:
Dic
tam
en d
e la
Aud
itorí
aD
icta
men
de
la A
udito
ría
SITUACIONACTUAL
RECOMENDACION COMENTARIOSDE LA GERENCIA DE SISTEMAS
No existen índices que permitan mejorar el performance del sistema
Crear los índices que correspondan de acuerdo con las aplicaciones que fueron desarrolladas.
De acuerdo(Sr. Gerente de Sistemas)
Debido al caudal de información que maneja la
Informe de las debilidades detectadas
Aud
itorí
a In
form
átic
a:
Aud
itorí
a In
form
átic
a:
Dic
tam
en d
e la
Aud
itorí
aD
icta
men
de
la A
udito
ría
CONCLUSIONES ......... El equipo de auditores considera que la empresa NO realiza las tareas de actualización y mantenimiento necesarias, las cuales son esenciales para el normal funcionamiento de la misma y para el cumplimiento de los objetivos establecidos en las distintas áreas de la empresa.
Se realiza una copia diaria de resguardo (backup)
información que maneja la empresa, se sugiere realizar 2 backups diarios, uno a mitad del día y otro al final del día.
De acuerdo(Sr. Gerente de Sistemas)