Auditoria

Enviado por zelda_1405 • 28 de Abril de 2014 • 2.298 Palabras (10 Páginas) • 207 Visitas

Página 1 de 10

AUDITORIA DE BASE DE DATOS

1. INTRODUCCION

La gran difusión de los Sistemas de Gestión de Bases de Datos (SGBD), junto con la consagración de los datos como uno de los recursos fundamentales de las empresas, ha hecho que los temas relativos a su control interno y auditoria cobren, cada día, mayor interés.

Normalmente la auditoria informática se aplica de dos formas distintas; por un lado se auditan las principales áreas del departamento de informática: explotación, dirección, metodología de desarrollo, sistema operativo, telecomunicaciones, bases de datos, etc.; y, por otro, se auditan las aplicaciones desarrolladas internamente, (subcontratadas o adquiridas) que funcionan en la empresa. La importancia de la auditoria del entorno de bases de datos radica en que es el punto de partida para poder realizar la auditoria de las aplicaciones que utilizan esta tecnología.

2. METODOLOGÍAS PARA LA AUDITORÍA DE BASES DE DATOS.

Aunque existen distintas metodologías que se aplican en auditoría informática (prácticamente cada firma de auditores y cada empresa desarrolla la suya propia), se pueden agrupar en dos clases:

Metodología tradicional.- En este tipo de metodología el auditor revisa el entorno con la ayuda de una lista de control (checklist), que consta de una serie de cuestiones a verificar. Por ejemplo:

¿Existe una metodología de Diseño de Base de Datos? S N NA

(S es si, N no y NA no aplicable), debiendo registrar el auditor el resultado de su investigación.

Este tipo de técnica suele ser aplicada a la auditoría de productos de bases de datos, especificándose en la lista de control todos los aspectos a tener en cuenta.

Metodología de evaluación de riesgos: Este tipo de metodología, conocida también por risk oriented approach, es la que propone la ISACA, y empieza fijando los

objetivos de control que minimizan los riesgos potenciales a los que está sometido el entorno. A continuación, una lista de los riesgos más importantes según 2 autores:

• Incremento de la “dependencia” del servicio informático debido a la concentración de datos

• Mayores posibilidades de acceso en la figura del administrador de la base de datos

• Incompatibilidad entre sistemas de seguridad de acceso propios del SGBD y el general de la instalación.

• Mayor impacto de los errores en datos o programas que en los sistemas tradicionales

• Ruptura de enlaces o cadenas por fallos del software o de los programas de aplicación

• Mayor impacto de accesos no autorizados al diccionario de la base de datos que a un fichero tradicional.

• Mayor dependencia del nivel de conocimientos técnicos del personal que realice tareas relacionadas con el software de base de datos (administrador, programadores, etc.)

Como en la auditoría de desarrollo, se puede seguir la misma metodología, donde se establecen primeramente:

Objetivo de control (ejemplo: El SGBD deberá preservar la confidencialidad de la base de datos).

Técnicas de control. Una vez establecidos los objetivos de control, se especifican las técnicas específicas correspondientes a dichos objetivos (ejemplo: Se deberán establecer los tipos de usuarios, perfiles y privilegios necesarios para controlar el acceso a las bases de datos).

Un objetivo de control puede llevar asociadas varias técnicas que permiten cubrirlo en su totalidad. Estas técnicas pueden ser preventivas, detectivas (como monitorizar la BD) o correctivas (por ejemplo, una copia de respaldo o backup).

Pruebas de cumplimiento. En caso de que los controles existan, se diseñan unas pruebas (denominada pruebas de cumplimiento) que permiten verificar la consistencia de los mismos. Por ejemplo: Listar los privilegios y perfiles existentes en el SGBD.

Si estas pruebas detectan inconsistencias en los controles, o bien, si los controles no existen, se pasa a diseñar otro tipo de pruebas - denominadas pruebas sustantivas - que permitan dimensionar el impacto de estas deficiencias.

Prueba sustantiva. Comprobar si la información ha sido corrompida comparándola con otra fuente o revisando los documentos de entrada de datos y las transacciones que se han ejecutado.

Una vez valorados los resultados de las pruebas se obtienen conclusiones que serán comentadas y discutidas con los responsables directos de las áreas afectadas con el fin de corroborar los resultados. Por último, el auditor deberá emitir una serie de comentarios donde se describa la situación, el riesgo existente y la deficiencia a solucionar, y en su caso, sugerirá la posible solución.

Esta será la técnica a utilizar para auditor el entorno general de un sistema de bases de datos, tanto en su desarrollo como durante la explotación.

PRINCIPALES OBJETIVOS DE CONTROL EN EL CICLO DE VIDA DE UNA BASE DE DATOS

3. ESTUDIO PREVIO Y PLAN DE TRABAJO.

En esta primera fase, es muy importante elaborar un estudio tecnológico de viabilidad en el cual se contemplen distintas alternativas para alcanzar los objetivos del proyecto acompañados de un análisis de costo-beneficio para cada una de las opciones. Se debe considerar entre estas alternativas la posibilidad de no llevar a cabo el proyecto (no siempre está justificada la implantación de un sistema de base de datos) así como la disyuntiva entre desarrollar y comprar (en la práctica, a veces encontramos con que se ha desarrollado una aplicación que ya existía en mercados, cuya compra hubiese supuesto un riesgo menor, asegurándonos incluso una mayor cantidad a un precio inferior).

Lamentablemente, en bastantes empresas este estudio de viabilidad no se lleva a cabo con el rigor necesario, con lo que a medida que se van desarrollando, los sistemas demuestran ser poco rentables.

El auditor debe comprobar también que la alta dirección revisa los informes de los estudios de viabilidad y que es la que decide seguir adelante o no con el proyecto. Esto es fundamental porque los técnicos que han de tener en cuenta que si no existe una decidida voluntad de la organización en su conjunto, impulsada por los directivos, aumenta considerablemente el riesgo de fracasar en la implantación de sistema.

En caso de que se decida llevar a cabo el proyecto es fundamental que se establezca un plan director, debiendo

...

Descargar como (para miembros actualizados) txt (15 Kb)

Leer 9 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com

Información sobre ensayo

Denunciar este ensayo

Ensayos relacionados

NORMAS DE AUDITORIA
Materia AUDITORIA I NORMAS DE AUDITORIA GENERALMENTE ACEPTADAS Material recopilado por MSc. Manlio Benito Reyes Díaz FUENTE: UNIVERSIDAD DEL CAUCA - COLOMBIA 4.1 CONCEPTO DE

35 Páginas • 3142 Visualizaciones
Auditorías Internas
ACTIVIDAD GRUPAL SEMANA 4 GRUPO No. 2 DENISSE MARIA CASTRO DIAZ KAREN SILVANA BERDEJO CARRILLO GLENYS DEL CARMEN BERRIO IZQUIERDO SENA VIRTUAL PROGRAMA SISTEMAS DE

38 Páginas • 2258 Visualizaciones
Responsabilidades Y Objetivos De La Auditoría
Responsabilidades y Objetivos de la Auditoria El objetivo de una auditoria común de estados financieros por parte de un auditor independiente es la expresión de

3 Páginas • 7178 Visualizaciones
Contabilidad Y Auditoría
PLANEACIÓN Y CONTENIDO DE LOS PAPELES DE TRABAJO La preparación adecuada de los papeles de trabajo, requiere una cuidadosa planeación antes y durante el curso

18 Páginas • 2010 Visualizaciones
Auditoría Informática
Incontrovertibles Jueves, 14 de mayo de 2009 AUDITORIA Concepto: Evaluación permanente, metódica e intelectual de procesar registros, tareas y resultados de una organización, para llegar

15 Páginas • 2151 Visualizaciones
Auditoría Preguntas Resueltas
1.- Que es auditoria? Revisión de los estados financieros de una entidad para expresar una opinión sobre los mismos, mediante un dictamen. 2.- Que son

3 Páginas • 2510 Visualizaciones
Auditoría
1. Cuando se analizan los flujos de efectivo relevantes de un proyecto ¿Por qué se deduce primero el incremento de la depreciación fiscal y luego

3 Páginas • 2653 Visualizaciones
Auditoría En El Procesamiento De Nómina
erá comprobar dichas erogaciones. b) Comprobar que todas las obligaciones contractuales y legales, relativas a remuneraciones y sus deducciones, se hayan registrado y valuado en

2 Páginas • 1437 Visualizaciones
Auditoría
# Metodología de la Auditoria Operativa # Necesidad de una Metodología Propia La metodología se define como la ciencia del método, según el diccionario, es

33 Páginas • 1403 Visualizaciones
Preguntas Resueltas Proceso De Auditoría
Módulo 1: Introducción al proceso de auditoria. Actividad 1: La función de auditoria de los sistemas de información. Fecha: 11 de noviembre de 2008 Bibliografía:

2 Páginas • 2505 Visualizaciones