90 likes | 387 Views
PROGRAMA DE AUDITORIA DE SISTEMAS. ALCANCE:. Evaluar los Planes y Organización del area de sistemas. Las Politicas y procedimientos. Sistemas técnicos de Seguridad y Protección. Análisis de puestos. Mantenimiento de instalaciones de Seguridad. Adecuación a la Normativa. .
E N D
ALCANCE: • Evaluar los Planes y Organización del area de sistemas. • Las Politicas y procedimientos. • Sistemas técnicos de Seguridad y Protección. • Análisis de puestos. • Mantenimiento de instalaciones de Seguridad. • Adecuación a la Normativa.
3. Realización de la auditoría • 3.1. Recolectar evidencia de la auditoría • El uso de los procedimientos debe ser controlado por el auditor de sistemas de información para asegurar razonablemente que se cumple con los objetivos de la auditoría y las especificaciones detalladas de los procedimientos • El auditor debe: Realizar una conciliación de los totales de control; Realizar una revisión independiente de la lógica de los sistemas. • Realizar una revisión de los controles generales de los sistemas de información de la organización que puedan contribuir a la integridad (por ejemplo: controles de los cambios en los programas y el acceso a los archivos de sistema, programa y/o datos).
3.2. El software de auditoría generalizado • Cuando el auditor de sistemas de información utiliza el software de auditoría generalizado para acceder a los datos de producción, se debe tomar las medidas apropiadas para proteger la integridad de los datos de la organización. Además, el auditor de sistemas de información tendrá que estar involucrado en el diseño del sistema y las técnicas que se utilizaron para el desarrollo y mantención de los programas/sistemas de aplicación de la organización.
3.3. Software utilitario • Cuando el auditor de sistemas de información utiliza el software utilitario debe confirmar que no tuvieron lugar ninguna intervención no planificada durante el procesamiento y que éste software ha sido obtenido desde la biblioteca de sistema apropiado, mediante una revisión del log de la consola del sistema o de la información de contabilidad del sistema. El auditor de sistemas de información también debe tomar las medidas apropiadas para proteger la integridad del sistema y programas de la organización, puesto que estos utilitarios podrían fácilmente dañar el sistema y sus archivos.
3.4. Datos de prueba • Cuando el auditor de sistemas de información utiliza los datos de prueba debe estar consiente de que pueden existir ciertos puntos potenciales de errores en el procesamiento; dado que ésta técnica no evalúa los datos de producción en su ambiente real. El auditor de sistemas de información también debe estar consiente de que el análisis de los datos de prueba pueden resultar extremadamente complejos y extensos, dependiendo de el número de operaciones procesadas, el número de programas sujetos a pruebas y la complejidad de los programas/sistemas.
3.5. Localización y maping del software de aplicación • Cuando el auditor de sistemas de información utiliza el software de aplicación para sus pruebas, debe confirmar que el programa fuente que está evaluando es lo mismo que se utiliza actualmente en producción. El auditor de sistemas de información debe estar consiente de que el software de aplicación sólo indica el potencial de un proceso erróneo, no evalúa los datos de producción en su ambiente real. • Cuando el auditor de sistemas de información utiliza los sistemas de auditoría especializados debe conocer profundamente las operaciones del sistema par confirmar que las sendas de decisión seguidas son apropiadas para el ambiente/situación de auditoría.
4. La documentación de los Papeles de trabajo • Una descripción del trabajo realizado, seguimiento y las conclusiones acerca de los resultados , deben estar registrados en los papeles de trabajo de la auditoría. • El proceso paso a paso debe estar documentado adecuadamente para permitir que el proceso se mantenga y se repita por otro auditor de sistemas de información. Específicamente los papeles de trabajo deben contener la documentación suficiente para describir la aplicación de los procedimientos,
Contenido y formato del informe. El reporte de auditoría establecerá el alcance, objetivos, período de cobertura, y la naturaleza y extensión del trabajo de auditoría realizado. El reporte identificará la organización, las partes interesadas y cualquier restricción acerca de su distribución. El reporte incluirá resultados, conclusiones, y recomendaciones y cualquier reserva o calificación que el auditor tenga respecto de la auditoría”.