domingo, 23 de abril de 2017

HERRAMIENTAS DEL AUDITOR DE SISTEMAS

Marco Metodològico:
Para el uso adecuado de herrameintas de auditoria se debe aplicar cierta metodologia, que abarca:

  • Efectuar pruebas.
  • Tener etica profesional.
  • planificar
  • Documentar.
Efectuar Pruebas: 
  • El uso de TAAC`s no debe alterar la integridad ni el desempeño de los recursos del cliente.
  • Deben ser probadas antes de ser utilizadas.
Tener etica profesional:
  • La informacion recopilada por las herramientas de auditoria debe ser confidencial.
  • La informaciòn debe estar guardada con cierto nivel de seguridad.
Planificar:
  ISACA recomienda:
  • Definir los objetivos de la auditoria.
  • Determinar la accesibilidad y disponibilidad de TI.
  • Determinar los requisitos de TAAC`s.
  • Obtener acceso a los recursos de la empresa a auditar.
  • Documentar las TAAC`s a utilizar y los objetivos de cada una.
Documentar:
  La documentaciòn relacionada con el uso de TAAC`s debe incluir:
  • Las herramientas utilizadas y su objetivo.
  • Forma en que se preparò la herramienta.
  • Detalles de la ejecuciòn de la herramienta: Entradas, procesos y salidas.
  • El analisis realizado por el auditor a partir de la salida de la herramienta.
Tipos de Herramientas:
  • Cuestionarios:
Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias.


  • Entrevistas:
El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas:

1. Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad.
2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas.


  • Trazas y/o Huellas:
Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa.
Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendrá de antemano las fechas y horas más adecuadas para su empleo.

  • Checklist:
El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma.
  • Software de Interrogación
  1. Se han utilizado productos software llamados genéricamente, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informático.
  2. Los productos Software especiales para la auditoria informática se orientan principalmente hacia lenguajes que permiten la interrogación de ficheros y bases de datos de la empresa auditada.
  3. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalación.


Publicadas por a la/s

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)