Auditoria de Sistemas Deber Teorico

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES

“UNIANDES” - TULCÁN

SISTEMAS MERCANTILES

CONTABILIDAD Y AUDITORIA

ALUMNAS: LUPE CALPAANITA DELGADOCECILIA REALPE D.

TUTOR: ING. DARIO MALDONADO

VII NIVEL

ENERO - 2011

UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”AUDITORIA DE SISTEMAS

TEMÁTICA A INVESTIGAR:

1. JUSTIFICATIVOS DE LA AUDITORIA DE SISTEMAS 2. CONTROLES 3. CLASIFICACIÓN DE LOS CONTROLES DE AUDITORIA

FINANCIERA

OBJETIVOS

Conocer sobre la temática de todo lo referente a auditoria de sistemas, para poder analizar, emitir y transmitir un comentario.

INTRODUCCION DE AUDITORIA DE SISTEMAS

La Auditoría es un examen crítico que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo. El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información. Para la realización de una Auditoría Informática eficaz, se debe entender a la empresa en su más amplio sentido. Todos utilizan la Informática para gestionar sus negocios de forma rápida y eficiente con el fin de obtener beneficios económicos y reducción de costos.

TIPOS DE AUDITORIAS INFORMÁTICAS Desde el punto de vista de informática la podemos clasificar así: a) Auditoría Informática de Explotaciónb) Auditoría Informática de Desarrollo de Proyectos o Aplicacionesc) Auditoría Informática de Sistemasd) Auditoría Informática de Comunicación de Redese) Auditoría de la Seguridad Informática

Auditoría Informática de Explotación. La explotación Informática se ocupa de producir resultados, tales como listados, archivos soportados magnéticamente, órdenes automatizadas, modificación de procesos, etc. Para realizar la explotación Informática se dispone de datos, las cuales

ALUMNAS: Calpa Lupe

Delgado Anita Realpe Cecilia

2


sufren una transformación y se someten a controles de integridad y calidad. (Integridad nos sirve a nosotros; la calidad es que sirven los datos, pero pueden que no sirvan; estos dos juntos expresan una muy excelente información.

Auditoría Informática de Desarrollo de Proyectos o Aplicaciones. La función de desarrollo de una evaluación del llamado Análisis de Programación y sistemas. Así por ejemplo una aplicación podría tener las siguientes fases:

b) Prerrequisitos del usuario y del entornoc) Análisis Funcionald) Diseñoe) Análisis orgánico (Preprogramación y Programación)f) Pruebas yg) Explotación. Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario, pueden producirse insatisfacciones del cliente, insatisfacción del usuario, altos costos, etc. Por lo tanto la Auditoría deberá comprobar la seguridad de los programas, en el sentido de garantizar que el servicio ejecutado por la maquina, los resultados sean exactamente los previstos y no otros (El nivel organizativo es medido por los usuarios, se da cuenta el administrador Ej. La contabilidad debe estar cuadrada.

Auditoría Informática de Sistemas. Se ocupa de analizar la actividad que se conoce como técnica de sistemas, en todos sus factores. La importancia creciente de las telecomunicaciones o propicia de que las comunicaciones, líneas y redes de las instalaciones informáticas se auditen por separado, aunque formen parte del entorno general del sistema. (Ej. Auditar el cableado estructurado, ancho de banda de una red LAN)

Auditoria Informática de comunicación y Redes. Este

tipo de Auditoría deberá inquirir o actuar sobre índices de utilización de las líneas contratadas con información sobre tiempos de uso, deberá conocer la topología de la red de comunicaciones, ya sea la actual o la desactualizada. Deberá conocer cuantas líneas existen, como son, donde están instaladas, y sobre ellas hacer una suposición de inoperatividad Informática. Todas estas actividades deben estar coordinadas y dependientes de una sola organización. (Debemos conocer los tipos de mapas actuales y anteriores,

ALUMNAS: Calpa Lupe


3


como son las líneas, el ancho de banda, suponer que todas las líneas están mal, la suposición mala confirmarlo).

Auditoría de la Seguridad Informática. Se debe tener

presente la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea individuos, las empresa o las instituciones, lo que significa que se debe cuidar del mal uso de esta información, de los robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total. En la actualidad se debe también cuidar la información d los virus informáticos, los cuales permanecen ocultos y dañan sistemáticamente los datos.

CARACTERÍSTICAS DE LA AUDITORIA DE SISTEMAS

La información de la empresa y para la empresa, siempre importante, se ha convertido en un activo Real de la misma, como sus stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas. Del mismo modo, los sistemas informáticos han de protegerse de modo global y particular: A ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la Auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas. Cuando se producen cambios estructurales en la informática, se reorganiza de alguna forma su función: Se esta en el campo de la Auditoría de Organización Informática. Estos tres tipos de Auditoría engloban a las actividades auditoras que se realizan en una Auditoría parcial. De otra manera: cuando se realiza una Auditoría del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas. a) Síntomas de necesidad de una Auditoría Informática: Las empresas acuden a las Auditoría externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases. b) Síntomas de descoordinación y Desorganización:- No coinciden los objetivos de la informática de la compañía y de la propia compañía- Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. (Puede suceder con algún

ALUMNAS: Calpa Lupe


4


cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna norma importante.) c) Síntomas de mala imagen e insatisfacción de los usuarios:- No se atienden las peticiones de cambios de los usuarios. (Ej. Cambios de software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc.)- No se reparan las averías de hardware, no se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.- No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en al actividad del usuario, en especial en los resultados de aplicaciones criticas y sensibles. d) Síntomas de debilidades económicas - financiero:- Incremento desmesurado de costos- Necesidad de justificación de inversiones informáticas (La empresa no esta absolutamente convencida de tal necesidad y decide contrastar opiniones)- Desviaciones presupuestarias significativas- Costos y plazos de nuevos proyectos (deben auditarse simultáneamente a desarrollo de proyectos y al órgano que realizo la petición). e) Síntomas de inseguridad: Evaluación de riesgos- Seguridad Lógica- Seguridad Física- Confidencialidad (Los datos son de propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales)- Continuidad del servicio. Establece la estrategias de continuidad entre fallo mediante planes de contingencia.(- Centro de proceso de datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la Auditoría. El síntoma debe ser sustituido por el mínimo indicio.

1. JUSTIFICATIVOS PARA EFECTUAR UNA AUDITORÍA DE SISTEMAS.

ALUMNAS: Calpa Lupe


5


Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos).

Desconocimiento en el nivel directivo de la situación informática de la empresa.

Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información.

Descubrimiento de fraudes efectuados con el computador. Falta de una planificación informática. Organización que no funciona correctamente, falta de

políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano.

Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados.

Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción.

PAPEL DE TRABAJO QUE INTERVIENEN EN LA AUDITORIA DE SISTEMAS.

La Auditoría nace como un órgano de control de algunas instituciones estatales y privadas. Su función es estrictamente económico - financiero, y los casos inmediatos se encuentran en los estrados judiciales y las contrataciones de contadores expertos por parte de bancos oficiales. La función de Auditoría debe ser absolutamente independiente; la Auditoría contiene elementos de análisis, de verificación y de exposición de debilidades y deficiencias. Aunque pueden aparecer sugerencias y planes de acción para eliminar las deficiencias y debilidades antes dichas; estas sugerencias plasmadas en el informe final reciben el nombre de recomendaciones. Las funciones de análisis y revisión que el auditor informático realiza, puede chocar con la psicología del auditado, ya que el auditor tiene la necesidad de realizar sus tareas con racionalidad y eficiencia. La reticencia del auditado es comprensible y, en ocasiones, fundada. El nivel técnico del auditor es a veces insuficiente, dada la gran complejidad de los sistemas, unidos a los plazos demasiados breves de los que suelen disponer para realizar su tarea.

ALUMNAS: Calpa Lupe


6


El auditor solo puede emitir un juicio global o parcial basado en hechos y situaciones incontrovertibles, careciendo de poder para modificar la situación analizada por él mismo.

2. CONTROLES DE AUDITORIA DE SISTEMAS

CONTROL.-

Es el conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y principios admitidos.

Los controles tienen como fin:

Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un proceso

Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD

Garantizar la integridad de los recursos informáticos. Asegurar la utilización adecuada de equipos acorde a planes

y objetivos.

3. CLASIFICACIÓN DE LOS CONTROLES EN AUDITORÍA DE SISTEMAS

Se clasifica en tres grandes grupos que son:

a) Controles Preventivos b) Controles Detectivosc) Controles Correctivos

CONTROLES PREVENTIVOS

Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones.

Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones

CONTROLES DETECTIVOS

Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos.

ALUMNAS: Calpa Lupe


7


Son los más importantes para el auditor, ya que en cierta forma sirven para evaluar la eficiencia de los controles preventivos.

Ejemplo: Archivos y procesos que sirvan como pistas de auditoría

Procedimientos de validación

CONTROLES CORRECTIVOS

Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en sí una actividad altamente propensa a errores.

PRINCIPALES CONTROLES FÍSICOS Y LÓGICOS

Controles particulares tanto en la parte física como en la lógica se detallan a continuación:

Autenticidad

Permiten verificar la identidad

1. Passwords2. Firmas digitales

Exactitud

Aseguran la coherencia de los datos

1. Validación de campos2. Validación de excesos

Totalidad

Evitan la omisión de registros así como garantizan la conclusión de un proceso de envío.

1. Conteo de registros2. Cifras de control

Redundancia

ALUMNAS: Calpa Lupe


8


Evitan la duplicidad de datos

1. Cancelación de lotes2. Verificación de secuencias

Privacidad

Aseguran la protección de los datos

1. Compactación2. Encriptación

Existencia

Aseguran la disponibilidad de los datos

1. Bitácora de estados2. Mantenimiento de activos

Protección de Activos

Destrucción o corrupción de información o del hardware

1. Extintores2. Passwords

Efectividad

Aseguran el logro de los objetivos

1. Encuestas de satisfacción2. Medición de niveles de servicio

Eficiencia

Aseguran el uso óptimo de los recursos

1. Programas monitores2. Análisis costo-beneficio

CONTROLES AUTOMÁTICOS O LÓGICOS

Periodicidad de cambio de claves de acceso

ALUMNAS: Calpa Lupe


9


Los cambios de las claves de acceso a los programas se deben realizar periódicamente. Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente.

El no cambiar las claves periódicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computación.

Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.

Combinación de alfanuméricos en claves de acceso

No es conveniente que la clave este compuesta por códigos de empleados, ya que una persona no autorizada a través de pruebas simples o de deducciones puede dar con dicha clave.

Ejemplo de auditoría de sistemas

Auditoría de hardware y software en estaciones de trabajo.

Índice.

Alcance...............................................................................................................3

Objetivo..............................................................................................................3

Recursos.............................................................................................................3

Etapas de trabajo................................................................................................3

1. Recopilacion de informacion básica..........................................................3

2. Identificación de riesgos potenciales........................................................4

3. Objetivos de control..................................................................................4

4. Determinacion de los procedimientos de control.....................................4

5. Pruebas a realizar.....................................................................................5

6. Obtencion de los resultados.....................................................................5

ALUMNAS: Calpa Lupe


10


7. Conclusiones y Comentarios:...................................................................6

8. Redaccion del borrador del informe.........................................................6

9 . Presentación del borrador del informe, al responsable de microinformática..............................................................................................6

10. Redacción del Informe Resumen y Conclusiones.....................................6

11. Entrega del informe a los directivos de la empresa.................................7

ALUMNAS: Calpa Lupe


11


AlcanceLa auditoria se realizará sobre los sistemas informaticos en computadoras personales que estén conectados a la red interna de la empresa.

ObjetivoTener un panorama actualizado de los sistemas de información en cuanto a la seguridad fisica, las politicas de utilizacion, transferencia de datos y seguridad de los activos.

RecursosEl numero de personas que integraran el equipo de auditoria sera de tres, con un tiempo maximo de ejecucion de 3 a 4 semanas.

Etapas de trabajo1. Recopilacion de informacion básica

Una semana antes del comienzo de la auditoria se envia un cuestionario a los gerentes o responsables de las distintas areas de la empresa. El objetivo de este cuestionario es saber los equipos que usan y los procesos que realizan en ellos.

Los gerentes se encargaran de distribuir este cuestionario a los distintos empleados con acceso a los computadores, para que tambien lo completen. De esta manera, se obtendra una vision mas global del sistema.

Es importante tambien reconocer y entrevistarse con los responsables del area de sistemas de la empresa para conocer con mayor profundidad el hardware y el software utilizado.

En las entrevistas incluiran:

Director / Gerente de Informatica

Subgerentes de informatica

ALUMNAS: Calpa Lupe


12


Asistentes de informatica

Tecnicos de soporte externo

2. Identificación de riesgos potenciales

Se evaluara la forma de adquisicion de nuevos equipos o aplicativos de software. Los procedimientos para adquirirlos deben estar regulados y aprobados en base a los estandares de la empresa y los requerimientos minimos para ejecutar los programas base.

Dentro de los riesgos posibles, tambien se contemplaran huecos de seguridad del propio software y la correcta configuracion y/o actualizacion de los equipos criticos como el cortafuegos.

Los riesgos potenciales se pueden presentar de la mas diversa variedad de formas.

3. Objetivos de control

Se evaluaran la existencia y la aplicación correcta de las politicas de seguridad, emergencia y disaster recovery de la empresa.

Se hara una revicion de los manuales de politica de la empresa, que los procedimientos de los mismos se encuentren actualizados y que sean claros y que el personal los comprenda.

Debe existir en la Empresa un programa de seguridad, para la evaluación de los riesgos que puedan existir, respecto a la seguridad del mantenimiento de los equipos, programas y datos.

4. Determinacion de los procedimientos de control

Se determinaran los procedimientos adecuados para aplicar a cada uno de los objetivos definidos en el paso anterior.

Objetivo N 1: Existencia de normativa de hardware.

El hardware debe estar correctamente identificado y documentado.

ALUMNAS: Calpa Lupe


13


Se debe contar con todas las órdenes de compra y facturas con el fin de contar con el respaldo de las garantías ofrecidas por los fabricantes.

El acceso a los componentes del hardware esté restringido a la directo a las personas que lo utilizan.

Se debe contar con un plan de mantenimiento y registro de fechas, problemas, soluciones y próximo mantenimiento propuesto.

Objetivo N 2: Política de acceso a equipos.

Cada usuario deberá contar con su nombre de usuario y contraseña para acceder a los equipos.

Las claves deberán ser seguras (mínimo 8 caracteres, alfanuméricos y alternando mayúsculas y minúsculas).

Los usuarios se desloguearan después de 5 minutos sin actividad.

Los nuevos usuarios deberán ser autorizados mediante contratos de confidencialidad y deben mantenerse luego de finalizada la relación laboral.

Uso restringido de medios removibles (USB, CD-ROM, discos externos etc).

5. Pruebas a realizar.

Son los procedimientos que se llevaran a cabo a fin de verificar el cumplimiento de los objetivos establecidos. Entre ellas podemos mencionar las siguientes técnicas:

Tomar 10 maquinas al azar y evaluar la dificultad de acceso a las mismas.

Intentar sacar datos con un dispositivo externo.

Facilidad para desarmar una pc.

ALUMNAS: Calpa Lupe


14


Facilidad de accesos a información de confidencialidad (usuarios y claves).

Verificación de contratos.

Comprobar que luego de 5 minutos de inactividad los usuarios se deslogueen.

6. Obtencion de los resultados.

En esta etapa se obtendrán los resultados que surjan de la aplicación de los procedimientos de control y las pruebas realizadas a fin de poder determinar si se cumple o no con los objetivos de control antes definidos. Los datos obtenidos se registrarán en planillas realizadas a medida para cada procedimiento a fin de tener catalogado perfectamente los resultados con el objetivo de facilitar la interpretacion de los mismos y evitar interpretaciones erroneas.

7. Conclusiones y Comentarios:

En este paso se detallara el resumen de toda la información obtenida, asi como lo que se deriva de esa información, sean fallas de seguridad, organización o estructura empresarial. Se expondrán las fallas encontradas, en la seguridad física sean en temas de resguardo de información (Casos de incendio, robo), manejo y obtención de copias de seguridad, en las normativas de seguridad como por ejemplo normativas de uso de passwords, formularios de adquisición de equipos, y estudios previos a las adquisiciones para comprobar el beneficio que los mismos aportarían. Finalmente se verán los temas de organización empresarial, como son partes responsables de seguridad, mantenimiento y supervisión de las otras áreas.

8. Redaccion del borrador del informe

Se detalla de manera concisa y clara un informe de todos los problemas encontrados, anotando los datos técnicos de cada una de las maquinas auditadas:

Marca

ModeloALUMNAS:

Calpa Lupe Delgado Anita Realpe Cecilia

15


Numero de Serie

Problema encontrado

Solución recomendada

9 . Presentación del borrador del informe, al responsable de microinformática

Se le presentara el informe borrador a un responsable del área informática, como se aclaro en el punto anterior, con el máximo de detalle posible de todos los problemas y soluciones posibles recomendadas, este informe se pasara por escrito en original y copia firmando un documento de conformidad del mismo para adquirir un compromiso fuerte en la solución de los mismos, de esta forma evitaremos posibles confusiones futuras.

10. Redacción del Informe Resumen y Conclusiones.

Es en este paso es donde se muestran los verdarderos resultados a los responsables de la empresa, el informe presentado dará a conocer todos los puntos evaluados durante la auditoria, resultados, conclusiones, puntaje y posibles soluciones.

La conclusión tendrá como temas los resultados, errores, puntos críticos y observaciones de los auditores. Mientras que en el resumen se verán las posibles soluciones de esos puntos críticos y fallas, así como recomendaciones para el buen uso y también recomendaciones sobre la forma incorrecta de realizar algunos procedimientos.

11. Entrega del informe a los directivos de la empresa.

Esta es la ultima parte de la auditoria y en una reunion se formaliza la entrega del informe final con los resultados obtenidos en la auditoria.

Tambien se fijan los parametros si asi se requieren para realizar el seguimientos de los puntos en los que el resultado no haya sido

ALUMNAS: Calpa Lupe


16


satifactorio o simplemente se quiera verificar que los que los objetivos de control se sigan cumpliendo a lo largo del tiempo.

EJEMPLO PRÁCTICO A LA DIRECCIÓN DE AVIACIÓN CIVIL

REALIZADO POR LA CONTRALORÍA GENERAL DEL ESTADO

Sistema Informático Integrado de Recursos Humanos

desactualizado

Los responsables de la Jefatura de Gestión de Recursos Humanos, en su

respectivo período de gestión no alimentaron la información de manera

ágil y oportuna en el Sistema Informático Integrado de Recursos

Humanos y en muchos casos no refleja ni siquiera la Unidad en que los

funcionarios se encuentran prestando físicamente sus servicios.

Se verificaron comunicaciones enviadas por la Jefatura de Sueldos al Jefe

de la UARHs, solicitando que los diferentes movimientos de personal

correspondientes a cada mes, se envíen oportunamente para poder

procesar el rol ya que son las Jefaturas de Registro y Control, Gestión y

Control las que proveen el insumo para realizar este proceso. Se debe

considerar que la información que corresponda a la UARHs debe ser

consistente con la que se mantiene en el Área Financiera; por lo tanto, las

partidas presupuestarias deben guardar relación con el distributivo y la

remuneración asignada en la misma, en cuanto al cargo que desempeña.

El registro de acciones de personal que contienen sanciones

administrativas, no fueron registradas oportunamente, por lo tanto

prescribieron, tampoco fueron archivados en los expedientes personales

ALUMNAS: Calpa Lupe


17


en los que se incluyen otros documentos, los mismos que reposan en

cajas y fundas en el área de Registro y Control.

Lo expresado, se debe a que la unidad no dispone de un software que

integre la información de los subsistemas de clasificación, selección,

capacitación y evaluación del desempeño, lo que ocasionó que la

Dirección de Recursos Humanos no cuente con datos actualizados para

la administración adecuada y eficiente del personal.

Por lo expuesto, el Jefe de Recursos Humanos inobservó las Normas de

Control Interno 110-03, “Contenido, flujo y Calidad de la Información”;

400-10, “Utilización de los Equipos, Programas e Información

Institucional” y 400-11, “Aprovechamiento de los Recursos

Computarizados del Sector Público”.

Conclusión

El Sistema informático implantado en la UARHs no es adecuado y está

desactualizado de manera que no permite obtener información oportuna

relativa a la hoja de vida y otros datos de los servidores.

Recomendaciones

Al Director General de Aviación Civil

1. Dispondrá al Jefe de Recursos Humanos solicite y coordine con la

unidad de Tecnología para que prepare un software que integre la

información de los subsistemas de clasificación, selección, capacitación y

evaluación del desempeño, que permita que la División de Recursos

Humanos cuente con datos actualizados y de importancia para la

administración adecuada y eficiente del personal.

Al Jefe de Recursos Humanos

2. Establecerá la necesidad de contar con un sistema informático

exclusivo para el área de recursos humanos que permita tener

información confiable y oportuna para la toma de decisiones, que facilite

ALUMNAS: Calpa Lupe


18


obtener reportes actualizados para lograr un adecuado control de

vacaciones, permisos, licencias, comisiones de servicio, atrasos, faltas y

permanencia del personal en su lugar de trabajo.

3. Dispondrá a los responsables de la Jefatura de Gestión y

Administración y Control, la depuración y actualización inmediata del

Sistema Informático Integrado de Recursos Humanos.

ALUMNAS: Calpa Lupe


19


ALUMNAS: Calpa Lupe


21

CONCLUSIONES

1. La Gestión de Tecnologías de información y Comunicaciones en la “Sociedad del Conocimiento”, se constituye en el factor diferenciador entre las prácticas tradicionales y las prácticas automatizadas, centradas en el empleo de Hardware, Software y personal actualizado con el fin de mantener servicios de tecnología de información adecuados para alcanzar los objetivos institucionales.

3. Concluimos que la auditoria de sistemas nos permite realizar un examen crítico y analítico en todas las entidades que se manejen sistema informáticos; ya en base a esto se saca criterios de fallas o buenos manejos o administración de recursos.

4. Nos permite emitir información adecuada a los directivos para la toma de decisiones dentro de una entidad a través de la emisión de un Informe de Hallazgos y hechos encontrados en el examen realizado sea interno o externo.


RECOMENDACIONES

1. A todas las entidades o instituciones que manejen un sistema informático, se realice una auditoría de sistemas para ver si el manejo de la base de datos se está registrando de una manera adecuada, correcta y concisa que no afecte a la situación verdadera de la entidad en el caso de que exista fraude.

2. En todos las unidades de una institución u organización se realizan controles, mediante diferentes auditorías, porque no hacer control (antes, durante y después) a los sistemas o paquetes informáticos, si son éstos los que actualmente están manejando un 90% de la información y un 80% de la gestión de cada institución.

ALUMNAS: Calpa Lupe


23


BIBLIOGRAFÍA Y LINKOGRAFÍA

- Manual de Auditoría de Sistemas de la Contraloría General del Estado, Año 2010.

- Audiconsystem.com

- Concepaudit.com

- Monografías. Com

ALUMNAS: Calpa Lupe


24

Auditoria de Sistemas Deber Teorico

Documents

Transcript of Auditoria de Sistemas Deber Teorico