Las técnicas de auditoria se clasifican en aquellas que no hacen uso de la computadora y las que si lo hacen (TAAC’s), pero en todos los casos, el auditor debe evaluar los riesgos inherentes a una aplicación basándose en:
VERIFICACIÓN DE LA SEGREGACIÓN DE FUNCIONES
El principio de separación de funciones ayuda a disminuir el riesgo de acciones indebidas, malintencionadas o no autorizadas, ejecutadas por personas involucradas en el procesamiento de información:
Generación de datos
Autorización
Modificación
Verificación
Distribución
Los datos generados por efectos de transacciones ocurridas deben ser autorizados antes de su ingreso a un proceso. La revisión abarca la verificación del cumplimiento de reglas de acceso a la información almacenada e Informes de actividades (usuario, actividad, oportunidad de cada tarea ejecutada). Buscar evidencias de intentos de violaciones (accesos no autorizados) a través de registros que indiquen fecha, hora y terminal.
REVISIÓN DE LA DOCUMENTACIÓN DE SISTEMAS
La documentación de una aplicación es un medio para mostrar los elementos esenciales del sistema de procesamiento de información: estructura de datos de entrada, descripción de los procedimientos para efectuar el procesamiento, descripción del contenido de archivos de datos, estructura de la información de salida, definición de controles aplicados.
Provee una explicación de como opera el sistema y que funciones cumplen los procesos y algoritmos utilizados en el.
El auditor de sistemas deberá corroborar que la documentación de un sistema de aplicación, ya sea por Manuales, o procedimientos en línea, diagramas en fin coincida con los mecanismos en los que funciona la aplicación.
Esto se usa para:
a. Revisión del control interno
b. Planeamiento de la auditoria usando la computadora
UN PLAN DE DOCUMENTACIÓN
1. Definición del problema (Fuente básica de información relativa al propósito del sistema)
2. Descripción del sistema (DFD entradas-operaciones-salidas)
3. Descripción de los programas (Diagramas UML, casos, secuencia, comunicación)
4. Configuraciones de registros, esquemas de bases de datos, pantallas e informes.
5. Instrucciones de Operación (Instrucciones necesarias para procesar basado en manual y en la segregación de funciones)
6. Descripción de controles (datos de entrada por el depto, dentro de los programas, recepción de información)
7. Registros de Aceptación (Aprobación por usuario y gerente basado en el cumplimiento de objetivos y exactitud de procesos).
TÉCNICAS DE AUDITORIA ASISTIDAS POR COMPUTADORA TAAC’s
Ayudan al auditor para lograr un alto grado de seguridad y mayor rendimiento en su actividad especifica.
ITF (Integrated Test Facility)
Consiste en un procesamiento simultáneo de datos de prueba que representan operaciones ficticias en un conjunto con datos de operaciones reales, durante un procesamiento real. Esto permite al auditor comparar los resultados de procesamiento de datos de prueba con importe previamente determinados. Si los resultados del procesamiento de los datos de prueba resultan conforme a lo esperado, es razonable suponer que el programa de computación procesa los datos reales tal como corresponde.
Esta técnica no se propone revisar la validez de los datos de entrada sino que prueba la validez de los programas de computación que procesan los datos de entrada, a efectos de determinar si operan de conformidad con su diseño previamente aprobado.
PTF (Parallel Test Facility)
Existen dos modalidades
a. Procesamiento paralelo (pruebas de cumplimiento) , se realiza una copia del sistema
b. Simulación paralela (pruebas sustantivas), evaluación de la comparación entre los resultados de dos sistemas diferentes que han recibido los mismos datos de entrada. Simulación total o parcial de componentes del sistema.
Test Deck (Tabla de Pruebas)
Transacciones simuladas o transacciones que idealmente incluye cualquier condición posible, incluyendo aquellas que el sistema no puede manejar por falta de controles propios. Esto es, deben incluirse pruebas válidas e inválidas y ser procesadas por los sistemas normales. El auditor debe conocer o determinar cuales deben ser los resultados de las pruebas para compararlos con los que se obtengan del sistema.
No hay comentarios:
Publicar un comentario