LA INFORMÁTICA COMO HERRAMIENTA DEL AUDITOR FINANCIERO

[pic 1]

EXAMEN U.F.I

AUDITORIA INFORMATICA | Un enfoque practico

Edwin Caillahua Huarachi | Auditoria informatica | 25/05/21

Capitulo 1

LA INFORMÁTICA COMO HERRAMIENTA DEL AUDITOR FINANCIERO

1.9-3 ¿Qué sector es uno de los principales usuarios de las auditorías?

• A principios del siglo XX las entidades financiera hacian uso de la auditoria basados en el seguimiento de los creditos. Priorizando la calidad y descripcion de balances(Dale S. Flesher).

Capitulo 2

AUDITORÍA INFORMÁTICA DE EIS/DSS Y APLICACIO NES DE SIMULACIÓN

2.6-6 ¿Cuáles son los principales controles en el área de desarrollo?

El empleo de esta metodología podrí garantizar a la alta Dirección que se alcanzarán los objetivos definidos para el sistema. Mencionado los siguientes:

• Publicar una normativa de uso de metodología de ciclo de vida del desarrollo de sistemas y revisando periódicamente.
• Establecer los papeles, responsabilidades y de los usuarios, así como la composición y responsabilidades del equipo.
• Tipear las especificaciones del nuevo sistema siendo definidas por los usuarios y la aprobación para inicio del desarrollo.
• Establecer un estudio de viabilidad viendo las alternativas para alcanzar los objetivos a su vez viendo análisis coste-beneficio de cada alternativa.
• Ver una metodología de control de costes sobre la alternativa elegida.
• Pasos para definir y documentar las especificaciones de:

• Diseño,
• Entrada
• Salida
• Archivos
• Procesos
• Programas
• Controles de segundad
• Pistas de auditoría

• Plan de:

• Validación,
• Verificación
• Pruebas.

• Estándares de prueba software y sistemas.
• Plan de conversión: prueba final(entrega).
• Seguimiento de políticas de adquisición como el testeo, revisión de costes y ponerlos en uso.
• El contrato de servicios de programación a medida ha de estar justificada mediante una petición escrita de un director de proyecto.
• Manuales uso y mantenimiento siendo pare del proyecto.

Capitulo 3

METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y A UDITORÍA INFORMÁTICA

FINANCIERO

SOLUCION:

3.9-9 ¿Cuáles son los objetivos de control en el acceso lógico?

• Segregación de funciones entre los usuarios del sistema: productores de software, jefes de proyecto (si existe un proceso metodológico así), técnico de sistemas, operadores de explotación, operadores de telecomunicaciones, grupos de usuarios de aplicaciones (con perfiles definidos por la Clasificadla de la información), administrador de la seguridad lógica (en control dual al ser de alto riesgo), auditoría, y tantos como se designen.
• Integridad de los "log" c imposibilidad de desactivarlos por ningún perfil pun poder revisarlos. Fácilmente legibles c interpretables por control informático. • Gestión centralizada de la seguridad o al menos única (por control informático).
• Contraseña única (a ser posible) para los distintos Sistemas de la red. Y b autentificación de entrad* una sola vez. Y una vez dentro, controlar los derechos de uso.
• La contraseña y archivos con perfiles y derechos inaccesibles a todos, incluso a los administradores de seguridad
• El sistema debe rechazar a los usuarios que no usan la clave o los derechos de uso correctamente, inhabilitando y avisando a control, que tomara las medidas oportunas.
• Separación de entornos. Significa que los distintos usuarios pueden hacer solamente lo qué y cómo se ha autorizado que hagan para su función. Habrá tantos entornos como se precisen y el control tendrá que estar en situación normal como en emergencia y no entorpecer la operatoria.
• El log. o los log’s, de actividad no podrán desactivarse a voluntad, y si se duda de su integridad o carencia, resolver con un terminal externo controlado.
• El sistema debe obligar al usuario a cambiar la contraseña, de forma que sólo la conozca él. que es la única garantía de autenticidad de sus actos.
• Es frecuente encontrar mecanismos de auto-logout, que expulsan del sistema a la terminal que permanece inactiva más de un tiempo determinado, que son ayudas adicionales a la segundad.

Muchos de estos objetivos se pueden sacar de los propios estándares (ISO. Libro Naranja. ITSEC. etc.).

Segregación de funciones entre los usuarios, integridad de los “log” e imposibilidad de  desactivarlos por ningún perfil para poder revisarlos, gestión centralizada de la  seguridad o al menos única, contraseña única para los distintos sistemas de la red, la  contraseña y archivos con perfiles y derechos inaccesibles a todos, el sistema debe  rechazar a los usuarios que no usan la clave, separación de entornos, el log o los log’s  de actividad no podrán desactivarse a voluntad, el sistema debe obligar a los usuarios a  cambiar la contraseña y es frecuente encontrar mecanismos de auto-loguot.

...