domingo, 23 de abril de 2017

HERRAMIENTAS DEL AUDITOR DE SISTEMAS

Marco Metodològico:
Para el uso adecuado de herrameintas de auditoria se debe aplicar cierta metodologia, que abarca:

  • Efectuar pruebas.
  • Tener etica profesional.
  • planificar
  • Documentar.
Efectuar Pruebas: 
  • El uso de TAAC`s no debe alterar la integridad ni el desempeño de los recursos del cliente.
  • Deben ser probadas antes de ser utilizadas.
Tener etica profesional:
  • La informacion recopilada por las herramientas de auditoria debe ser confidencial.
  • La informaciòn debe estar guardada con cierto nivel de seguridad.
Planificar:
  ISACA recomienda:
  • Definir los objetivos de la auditoria.
  • Determinar la accesibilidad y disponibilidad de TI.
  • Determinar los requisitos de TAAC`s.
  • Obtener acceso a los recursos de la empresa a auditar.
  • Documentar las TAAC`s a utilizar y los objetivos de cada una.
Documentar:
  La documentaciòn relacionada con el uso de TAAC`s debe incluir:
  • Las herramientas utilizadas y su objetivo.
  • Forma en que se preparò la herramienta.
  • Detalles de la ejecuciòn de la herramienta: Entradas, procesos y salidas.
  • El analisis realizado por el auditor a partir de la salida de la herramienta.
Tipos de Herramientas:
  • Cuestionarios:
Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias.


  • Entrevistas:
El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas:

1. Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad.
2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas.


  • Trazas y/o Huellas:
Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa.
Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendrá de antemano las fechas y horas más adecuadas para su empleo.

  • Checklist:
El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma.
  • Software de Interrogación
  1. Se han utilizado productos software llamados genéricamente, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informático.
  2. Los productos Software especiales para la auditoria informática se orientan principalmente hacia lenguajes que permiten la interrogación de ficheros y bases de datos de la empresa auditada.
  3. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalación.


Publicadas por a la/s No hay comentarios.:

INFORMES ESPECIALES

Cuando en el desempeño de sus funciones los auditores detecten acciones u omisiones presumiblemente delictivas, se presentan dichas evidencias a las autoridades competentes a través de informes especiales de auditorías.
Los informes especiales tienen que ser revisados por un abogado vinculado a la unidad de auditoría.
Es importante presentar los datos y elementos precisos para que el alcance de las evidencias obtenidas, mediante las acciones de control realizadas posibiliten homologarlas “a prueba" de abrirse el proceso penal.

Estos informes tendrán como formato

1. Encabezamiento
  • Datos generales de la entidad auditada
  • Fecha de inicio de la acción de control
  • Fecha del informe
  • Tipo y alcance de la acción de control
2. Contenido
  • Fecha en que se detecto el presunto hecho delictivo
  • Descripción del hecho o conducta presuntamente delictiva, disposiciones jurídicas, normas y procedimientos que se transgreden o incumplen
  • Cuantificación total de la afectación económica, exponiendo los daños y perjuicios ocasionados cuando sea posible
  • Pruebas documentales que permitieron determinar los hechos
  • Nombres y apellidos de las personas implicadas en el hecho o conducta presuntamente delictiva y su relación causal con el hecho o conducta y la expresión de la afectación económica o los daños atribuibles a cada uno de ellos.
3. Nombre y firma del jefe de grupo.
4. Acta de entrega detallada de los documentos originales que se adjuntan, así como de las pruebas documentales que permitieron determinar el hecho.
5. Anexos.

Publicadas por a la/s No hay comentarios.:
Suscribirse a: Entradas (Atom)