Ir al contenido principal

Instrumentos de auditoría - V1

  • Muestreo:
    • Tipos:
      • Aleatorio simple: homogéneos, formula simple
      • No probabilístico: intencional, experiencia, obvio
      • Probabilístico: cada miembro tiene probabilidad/peso de ser elegido
        • Con reemplazo (vuelve), sin reemplazo
        • Análisis del grado de confianza: campana de gauss
      • Simple al azar
      • Estratificado: segmentos, grupos específicos (de acuerdo a una connotación especial)
    • Proceso:
      • Definir tipo de investigación a realizar
        • Planteamiento del problema
        • Definir método a utilizar
      • Determinar el universo, población y muestra
      • Definir herramientas de recopilación de datos
        • Diseñar instrumentos
        • Elaborar prueba piloto y ajustar
        • Elaborar instrumentos de recopilación
      • Recopilar los datos
      • Tabular los datos
      • Interpretar los datos
      • Difundir/registrar los resultados
    • Experimentación: observación de un fenómeno al cual se le van adaptando las variables y condiciones
      • Tipos:
        • Exploratorio: concebido para ver técnicas, métodos y procedimientos utilizados. Visitas, observación
        • Confirmativos: con base a refutar o confirmar desviaciones, fallas de seguridad (física, lógica)
        • Cruciales: cambio en condiciones para analizar comportamiento (fecha 2000). Migración de sistemas
Técnicas de evaluación
  • Examen:
    • Tipos:
      • Examen de comportamiento de sistema: comportamiento bajo diferentes ambientes, rendimiento.
      • Examen de los resultados del sistema
      • Pruebas de implantación (piloto, paralelo, aproximaciones sucesivas)
      • Pruebas del sistema: arquitectura, funcionamiento general
      • Pruebas a los aplicativos: pruebas de escritorio
      • Pruebas del sistema operativo
      • Pruebas de encendido del sistema
      • Exámenes de las instalaciones de sistemas
    • Inspección: Supervisar las operaciones
    • Confirmación: Lo expresado en informes (licenciamiento, oportunidad, protecciones)
    • Comparación: Entre grupos históricos, por áreas, manual vs automático, informes de programas vs la realidad, mirar las desviaciones
    • Revisión documental:
      • Adtivos: Manuales de la organización, procesos y procedimientos, perfil personal, etc.
      • Técnicos: Instructivos de software, instructivos de hardware, operación sistema, usuarios, procedimientos de sistema, mantenimiento (Físico, lógico), diccionario de datos, metodologías, estándares, normas, etc.
Se pueden hacer revisión de documentos tales como diagramas de flujo apuntes y programas de cómputo, boletines, mapas, videos, micro filminas, discos duros, cintas magnéticas CD-ROM, DVD, etc.
  • Acta testimonial: Entrega-recibo puesto disciplinaria, falta activo, entrega sistema, software no licenciado, alteración programas, siniestro. Factor Crítico!!!

Comentarios

Entradas populares de este blog

BAI04 Gestionar la disponibilidad y la capacidad

Dominio: Construcción, adquisición e implementación Descripción: El propósito del proceso BAI04 de COBIT es equilibrar las necesidades actuales y futuras de disponibilidad, rendimiento y capacidad con una provisión de servicio efectiva en costes. Incluye la evaluación de las capacidades actuales, la previsión de necesidades futuras basadas en los requerimientos del negocio, el análisis del impacto en el negocio y la evaluación del riesgo para planificar e implementar acciones para alcanzar los requerimientos identificados. Metas del proceso 1.       Con el plan de disponibilidad anticipar la expectativa del negocio de los requisitos de capacidad crítica. Métrica: Número de actualizaciones no planificadas de capacidad, rendimiento y disponibilidad. Criterio: Acuerde los valores esperados para las métricas del objetivo del proceso, es decir, los valores con los que se realizará la evaluación. Pasos de evaluación: Se revisaran las métricas relacion...

¿Qué es la auditoria?

Auditar es la acumulación y la evaluación de evidencia acerca de información para determinar y reportar el grado de correspondencia entre la información y los criterios establecidos. Es la revisión independiente que realiza un auditor profesional aplicando técnicas métodos y procedimientos establecidos. Independencia : La libertad de condiciones que amenazan la objetividad o apariencia de la objetividad. Independencia en apariencia : la evasión de hechos y circunstancias que son tan significativos que sería probable que un tercero informado razonable concluya. Independencia de mente:  el estado de mente que permite la expresión de una conclusión sin ser afectada por influencias que comprometan el buen juicio profesional, permitiendo, de ese modo, que un individuo actúe con integridad y ejerza la objetividad.   Tipos de auditoria: Por su origen ( interna o externa ) Área de aplicación Especializadas Auditoría informática ( informática, con la computadora, ...

Tipos de control

Controles Preventivos:  Anticipan eventos no deseados antes de que sucedan. Son más rentables Deben quedar incorporados en los sistemas Evitan costos de corrección o reproceso Ejemplo : El software de seguridad que evita el acceso a personal no autorizado, para tratar de evitar la producción de errores o hechos fraudulentos. Controles Detectivos:  Identifican los eventos en el momento en que se presentan. Son más costosos que los preventivos Miden la efectividad de los preventivos Algunos errores no pueden ser evitados en la etapa preventiva Incluyen revisiones y comparaciones (registro de desempeño) Conciliaciones, confirmaciones, conteos físicos de inventarios, análisis de variaciones, técnicas automatizadas Límites de transacciones, passwords, edición de reportes y auditoría interna. Ejemplo : Un programa de auditoría, para descubrir a posteriori errores o fraudes que no haya sido posible evitarlos con controles preventivos. Controles Correctivos:  As...