SlideShare una empresa de Scribd logo

Tema 2

Carmelo Branimir España Villegas
Carmelo Branimir España Villegas
1 de 40
Descargar para leer sin conexión
Auditoría informática Organización del departamento de auditoría informática Capítulo 2
Antecedentes Análisis del nacimiento y existencia de la auditoría informática desde el punto de vista empresarial Análisis del contexto organizativo y ambiental de desenvolvimiento empezamos Carmelo España V. -- Auditoría Iformática Contexto Estratégico y Operativo de la Organización SI y la arquitectura que los soporta, desempeñan un papel importante como uno de los soportes básicos para la gestión y control del negocio Sistemas de Información de la organizaciónda lugar
Antecedentes Auditoría informática Auditoría en general Auditoría interna • contabilidad •Control •Veracidad de operaciones •etc Carmelo España V. -- Auditoría Iformática Como consecuencia de la necesidad de controlar y registrar operaciones
Antecedentes Carmelo España V. -- Auditoría Iformática AUDITORÍA INFORMATICA  SI  Recursos que manejan  inversiones que se ponen a disposición de estos recursos para el funcionamiento y obtención de resultados esperados Departamento de Sistemas de Información Gestiona
Antecedentes Carmelo España V. -- Auditoría Iformática Auditoría “alrededor del ordenador” O Auditor verificaba los documentos de entrada al ordenador y los informes producidos, sin entender lo que pasaba dentro del ordenador O Auditor verificaba la seguridad física (incendios, copias de seguridad, etc.) O Auditor financiero Auditoría “a través del ordenador” O Auditor financiero utiliza el ordenador como medio para acceder a los datos (a través de paquetes) Auditoría “con el ordenador” O Utilizando sus posibilidades, utilidades, etc.
Antecedentes Carmelo España V. -- Auditoría Iformática ¿Qué áreas de una Institución se puede aplicar la Auditoria Informática?
Antecedentes Carmelo España V. -- Auditoría Iformática Las áreas donde se puede realizar la auditoria informática, pueden ser: O A toda la Entidad O A un departamento O A un área O A una función O A una subfunción
Clases de AUDITORIA INFORMÁTICA 1. ¿Qué clases de Auditorías Informáticas mencionamos la anterior clase? 5 minutos de discusión Actividad para la clase
Clases de AUDITORIA INFORMÁTICA 1. Auditoría de la gestión: Referido a la contratación de bienes y servicios, documentación de los programas, etc. 2. Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos. 3. Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas. 4. Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos. 5. Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
6. Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno. 7. Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información. 8. Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación. 9. Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes. Clases de AUDITORIA INFORMÁTICA
Auditoría Interna informática Se define como una función de valoración independiente establecida dentro de una organización para examinar y evaluar sus actividades como un servicio a la organización. Su objetivo es asistir a los miembros de la organización en el cumplimiento efectivo de sus responsabilidades. Proporciona análisis, valoraciones, recomendaciones, consejo e información sobre las actividades revisadas. El alcance de la auditoría interna debe abarcar el examen y evaluación de la adecuación y efectividad del sistema de control interno y la calidad de la de ejecución en la realización de las responsabilidades asignadas. Clases de AUDITORIA INFORMÁTICA
Auditoría Interna informática Clases de AUDITORIA INFORMÁTICA No puede tomar parte en funciones de tipo operativo 1. Control de los controles O Evaluar la adecuación, grado de efectividad y eficiencia del sistema de control interno de una empresa 2. Ayudar a la Dirección en el cumplimiento de sus responsabilidades y contribuir a que se logren en cada área resultados óptimos O Prestar un servicio de asistencia y de crítica constructiva 3. Funciones principales con respecto al control interno O Determinar si los Controles Internos proporcionan la protección necesaria, así como la máxima eficacia operativa O Comprobar si los procedimientos operativos y métodos se utilizan tal y como está establecido en las normas de la empresa
Auditoría Interna informática NO es… Clases de AUDITORIA INFORMÁTICA Sitio de “retiro” para directivo en desgracia u obsoletos Centro de inquisidores (auditoría policíaca) Agrupación de “delatores” Proveedor de “mano de obra”, para solucionar situaciones de emergencia de otros departamentos Departamento de filtraciones, obtenidas a través de la actividad auditora Auxiliar de la auditoría externa o un enemigo permanente de ésta Un “apaga fuegos” para toda situación de emergencia Un lugar de resentidos y descontentos, que se creen los más capacitados y todo lo enjuician negativamente Un departamento sin categoría ni prestigio en la empresa
Auditoría Externa informática La auditoría externa se puede definir como un servicio público o privado prestado por profesionales calificados en Auditoría Informática, que consiste en la realización, según normas y técnicas específicas, de una revisión de las TIC, a fin de expresar su opinión independiente sobre si lo auditado presentan violaciones, irregularidades, fraudes u errores en un momento dado, sus resultados y hallazgos durante un periodo determinado, de acuerdo con las normas de control interno, normas ISO, de la Contraloría General de la República y otras que sea de competencias. Clases de AUDITORIA INFORMÁTICA
Auditoría Externa informática Clases de AUDITORIA INFORMÁTICA  Realizada por alguien ajeno a la entidad auditada  Se centran en las deficiencias de los controles internos  Diferencias con la auditoría interna: O Sujeto O Profesional independiente / Empleado de la empresa O Objeto O Opinión independiente / Control y sugerencias de mejora O Informe O Dictamen / Sólo recomendaciones internas O Responsabilidad O Civil e incluso penal / Laboral O Continuidad O Periódica / Continua
Función de auditoría informática Carmelo España V. -- Auditoría Iformática O Evaluación, verificación e implantación oportuna de los controles y procedimientos que se requieren para el aseguramiento del buen uso y aprovechamiento de la función de informática. O Aseguramiento permanente de la existencia y cumplimiento de los controles y procedimientos que regulan las actividades y utilización de los recursos de informática de acuerdo con las políticas de la organización. O Desarrollar la auditoría en informática conforme normas y políticas estandarizadas a nivel nacional e internacional.
Función de auditoría informática Carmelo España V. -- Auditoría Iformática O Evaluar las áreas de riesgo de la función de informática y justificar su evaluación con la alta dirección del negocio. O Elaborar un plan de auditoria en informática en los plazos determinados por el responsable de la función. O Obtener la aprobación formal de los proyectos del plan y difundirlos entre los involucrados para su compromiso. O Administrar o ejecutar de manera eficiente los proyectos contemplados en el plan de la auditoría en informática.
Perfiles profesionales de la función de auditoría informática Carmelo España V. -- Auditoría Iformática elaborar un perfil de un profesional de auditoría Informática. (10 min) Luego, armamos un perfil completo con todos ellos. Actividad para la clase
Perfiles profesionales de la función de auditoría informática Carmelo España V. -- Auditoría Iformática 1. Ser experto auditor (Financiero) 2. Entender el diseño y modo de operar el sistema 3. Tener conocimientos básicos de técnicas y lenguajes de programación 4. Estar familiarizados con los sistemas operativos 5. Serle factible poder identificar problemas con los formatos y estructuras de bases de datos 6. Ser capaz de tender un puente entre en el profesional de tecnologias de la información 7. Saber cuando pedir apoyo de un especialista 8. Responsabilidades O Auditar aplicaciones financieras y seguridad física O Ofrecer soporte con limitaciones a los auditores financieros y externos 9. Persona con alto grado de calificación técnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales
Perfiles profesionales de la función de auditoría informática Carmelo España V. -- Auditoría Iformática 10. Perfil O Formación básica con una mezcla de conocimientos de auditoría financiera y de informática en general (p.e. Desarrollo de aplicaciones, C.V., gestión de proyectos, BD, S.O., redes, etc.) O Especialización en función del entorno empresarial O Gestión del Cambio O Calidad Total, que hará que su trabajo sea reconocido como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad
Dimensiones del Trabajo del Auditor Informático 1. Revisión de Controles de las Aplicaciones O Determinar que los sistemas producen la información a tiempo, exacta y completa 2. Revisión de Integridad de Datos O Compleción, consistencia y exactitud 3. Revisión de C.V. de Desarrollo O Determinar la adherencia a los estándares de CV de desarrollo aceptados 4. Revisión de Controles Generales de los Procedimientos Operacionales O Determinar que las aplicaciones se procesan en un entorno controlado 5. Revisión de Seguridad O Asegurar la protección adecuada de los programas, de los datos y de la instalación de procesamiento de datos
6. Revisión Software de los Sistemas O Determinar el cumplimiento con las políticas de la organización 7. Revisión de Mantenimiento O Determinar que los sistemas se han modificado de acuerdo con las políticas de la organización 8. Revisión de Adquisición O Determinar que los recursos de la organización se están utilizando de forma económica 9. Revisión de la Gestión de Recursos del Procesamiento de Datos O Determinar su adecuación en el cumplimiento de los objetivos organizativos 10. Gestión de Auditoría Informática O Utilizar de forma efectiva los recursos disponibles de la función de la auditoría informática y para cumplir el requisito de auditoría informática de la organización Dimensiones del Trabajo del Auditor Informático
Funciones a desarrollar por la auditoría informática Carmelo España V. -- Auditoría Iformática O Verificación del control interno, tanto de las aplicaciones como de los sistemas informáticos, centrales y periféricos. O Análisis de la gestión de los sistemas de información desde un vista de riesgo de seguridad, de gestión y de efectividad de la gestión. O Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de las aplicaciones. Esta función, que la vienen desempeñando los auditores informáticos, están empezando ya a desarrollarlas los auditores financieros. O Auditoría del riesgo operativo de los circuitos de información.
Funciones a desarrollar por la auditoría informática Carmelo España V. -- Auditoría Iformática Análisis de la gestión de los riesgos de la información y de la seguridad implícita. Verificación del nivel de continuidad de las operaciones (a realizar conjuntamente con los auditores financieros) Análisis del estado del arte tecnológico de la instalación revisada y de las consecuencias empresariales que un desfase tecnológico pueda acarrear. Diagnóstico sobre el grado de cobertura que dan las aplicaciones a las necesidades estratégicas y operativas de información de la organización
Organización de la función de auditoría informática O La función de auditoría informática a pasado de ser una función meramente de ayuda al auditor financiero a ser una función que desarrolla un trabajo y lo seguirá haciendo en el futuro. O Pasa a ser auditor y consultor del ente empresarial, en el que va a ser analista, auditor y asesor en materia de: O Seguridad O Control interno operativo O Eficiencia y eficacia O Tecnología informática O Continuidad de operaciones O Gestión de negocios O No solamente de los sistemas informáticos objetos de estudio, sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial.
O El tipo de papel que debe desempeñar el auditor dentro de una organización son: O Su localización debe estar ligada a la localización de la auditoría interna operativa y financiera, pero con independencia de objetos, de planes de formación y de presupuesto. O La organización operativa tipo debe ser la de un grupo independiente del de auditoria interna, con una accesibilidad total al de los sistemas informáticos y de información. O La dependencia en todo caso debe ser del máximo responsable operativo de la organización. O Este personal debe contemplar su titulación de la CISA como un elemento básico para comenzar su carrera como auditor informático. Organización de la función de auditoría informática
O La organización interna tipo de la organización podría ser: O Jefe de departamento O Gerente o supervisor de auditoría informática O Auditor informático O El tamaño solo se puede precisar un función de los objetivos de la función. O Se podría considerar: O Especialista en el entorno informático a auditar O Especialista en comunicación y/o redes O Responsables de gestión de riesgos operativo y aplicaciones O Responsables de la auditoria de sistemas de información O Especialista para la elaboración de programas de trabajo conjuntos con la auditoría financiera Organización de la función de auditoría informática
Resumidamente, las funciones del Departamento de Auditoria Informática serán: O Evaluar los sistemas que aseguran el cumplimiento de las políticas, planes, procedimientos, normas y reglamentos, emitiendo sugerencias de mejora en los controles internos establecidos. O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Dirección de la Sociedad, realizando el seguimiento de las recomendaciones emitidas. O Revisar y evaluar la fiabilidad del sistema contable establecido y que éste responde a la normativa legal e interna. O Evaluar, asimismo, a través de la auditoria informática, la adecuación, utilidad, eficiencia, fiabilidad y salvaguarda de la información mecanizada de la Sociedad así como la organización de los servicios que la elaboran y procesan. Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de salvaguarda de los mismos. O Colaborar con los auditores externos, integrando su labor con los objetivos del Departamento de Auditoria Interna. El auditor externo debe tener acceso a los informes de auditoría interna y debe ser informado de cualquier asunto que, estando en conocimiento de los auditores internos, pueda afectar a su trabajo. De igual manera, los auditores externos deberán comunicarles cualquier asunto que pudiera afectar a la auditoría interna. Deberán estar coordinados para evitar duplicidades en el trabajo a realizar, por medio de reuniones periódicas y la puesta en común de técnicas de auditoria, métodos y terminología. O Asistir a los miembros de la organización, proporcionándoles análisis, recomendaciones, consejo e información concerniente a las actividades revisadas. Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo, implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente, por medios informáticos, de operaciones anómalas, al objeto de prevenir y detectar rápidamente incidencias de normativa, mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organización o pueden provocar pérdidas de rentabilidad o de negocio. O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboración y publicación de la información financiera, proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentación a entregar por parte de Sociedad al Organismo Supervisor. Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento de las leyes y normativa en vigor aplicable. O Informar a la Dirección de cuantas anomalías o irregularidades se detecten, recomendando las mejores acciones correctoras. O Evaluar que la organización cuenta con los medios humanos y materiales que garanticen la adecuada gestión del negocio, a través de la oportuna segregación de funciones. O Elaborar un Código de Conducta a nivel corporativo, que sea aprobado por el Consejo de Administración de la Sociedad y evaluar periódicamente el cumplimiento del mismo. O En caso preciso, la ejecución de investigaciones especiales. Funciones del Departamento de Auditoria
¿Cuál podría ser la Organización del departamento de Auditoria Informática y las funciones de cada uno? Organización del Departamento de Auditoria Actividad para la clase
La organización interna podría ser: O Jefe del departamento. O Gerente o supervisor de auditoria informática. O Auditor informático. Organización del Departamento de Auditoria
Jefe del departamento. O Desarrolla el plan operativo del departamento, las descripciones de los puestos de trabajo del personal a su cargo, las planificaciones de actuación a un año, los métodos de gestión del cambio en su función y los programas de formación individualizados, así como gestiona los programas de trabajo y los trabajos en si, los cambios en los métodos de trabajo y evalúa la capacidad de las personas a su cargo. Organización del Departamento de Auditoria
Gerente o supervisor de auditoria informática. O Trabaja estrechamente con el jefe del departamento en las tareas operativas diarias. Ayuda en la evaluación del riesgo de cada uno de los trabajos, realiza los programas de trabajo, dirige y supervisa directamente a las personas en cada uno de los trabajos de los que es responsable. O Realiza la formación sobre el trabajo. O Es responsable junto con su jefe de la obtención del mejor resultado del trabajo para el auditado, entroncando los conceptos de valor añadido y gestión del cambio dentro de su trabajo. O Es el que mas “vende” la función con el auditado. Organización del Departamento de Auditoria
Auditor informático. O Son responsables para la ejecución directa del trabajo. O Deben tener una especialización genérica, pero también una especifica, según se comento anteriormente. O Su trabajo consistirá en la obtención de información, realización de pruebas, documentación del trabajo, evaluación y diagnostico de resultados. Organización del Departamento de Auditoria
El tamaño del departamento solo se puede precisar en función de los objetivos de la función, para una organización tipo, el abanico de responsabilidades O Debería cubrir: 􀁺 Especialista en el entorno informático a auditar y en gestión de bases de datos. 􀁺 Especialista en comunicaciones y/o redes. 􀁺 Responsable de gestión de riesgo operativo y aplicaciones 􀁺 Responsable de la auditoria de sistemas de información, tanto en explotación como en desarrollo. 􀁺 En su caso, especialista para la elaboración de programas de trabajo conjuntos con la Auditoria Financiera. Tamaño del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difícil de contestar: O Cuantos auditores necesitamos? O Existe una metodología que nos puede ayudar...? La respuesta es SI y una de ellas es la Matriz de Riesgos. Tamaño del Departamento de Auditoria
Actividades 1. Crucigrama(15 min) 2. Cuestionario
TAREA 1. Investigar sobre la Matriz de Riesgos. (10 min) 2. Qué es ISO 17799, ISO 15333, ISO 9000, BCP, ERM, ACL, WIN IDEA. (exposición 20 minutos) 3. Resumen del tema 2 (5 min)

Recomendados

Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaJaime
 
Balotario de auditoria
Balotario de auditoriaBalotario de auditoria
Balotario de auditoriaAlexzander Rivas Huerto
 
AUDITORIA
AUDITORIAAUDITORIA
AUDITORIACecy1917
 
Auditorias de seguridad
Auditorias de seguridadAuditorias de seguridad
Auditorias de seguridadlizbasile
 
Control interno-informatico
Control interno-informaticoControl interno-informatico
Control interno-informaticorichycc7
 
Auditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de InformacionAuditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de InformacionJavier Moreno
 
Reporte final de auditoria
Reporte final de auditoriaReporte final de auditoria
Reporte final de auditoriakarla
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaRobert Castillo
 

Recomendados

Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaJaime
 
Balotario de auditoria
Balotario de auditoriaBalotario de auditoria
Balotario de auditoriaAlexzander Rivas Huerto
 
AUDITORIA
AUDITORIAAUDITORIA
AUDITORIACecy1917
 
Auditorias de seguridad
Auditorias de seguridadAuditorias de seguridad
Auditorias de seguridadlizbasile
 
Control interno-informatico
Control interno-informaticoControl interno-informatico
Control interno-informaticorichycc7
 
Auditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de InformacionAuditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de InformacionJavier Moreno
 
Reporte final de auditoria
Reporte final de auditoriaReporte final de auditoria
Reporte final de auditoriakarla
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaRobert Castillo
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaErii Utatane
 
Auditorias de seguridad
Auditorias de seguridadAuditorias de seguridad
Auditorias de seguridadMario Meneses
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaOsita Sweet
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptFredy EC
 
Principales áreas de la auditoria informática
Principales áreas de la auditoria informáticaPrincipales áreas de la auditoria informática
Principales áreas de la auditoria informáticakicwua
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informáticaRoberto Porozo
 
Power point auditoria y sistemas
Power point auditoria y sistemasPower point auditoria y sistemas
Power point auditoria y sistemasAlexander Castillo
 
Auditoria informática
Auditoria informáticaAuditoria informática
Auditoria informáticaLuis Guallpa
 
Generalidades de la Auditoria de Sistemas (1ra y 2da Sesión)
Generalidades de la Auditoria de Sistemas (1ra y 2da Sesión)Generalidades de la Auditoria de Sistemas (1ra y 2da Sesión)
Generalidades de la Auditoria de Sistemas (1ra y 2da Sesión)Eva Salmerón
 
Auditoria de SISTEMAS
Auditoria de SISTEMASAuditoria de SISTEMAS
Auditoria de SISTEMASJosé Tomás Diarte Añazco
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaJorge Moya
 
diapositivas auditoria de sistemas
diapositivas auditoria de sistemasdiapositivas auditoria de sistemas
diapositivas auditoria de sistemasnelsyjazmin
 
Planificación de auditoría informática
Planificación de auditoría informáticaPlanificación de auditoría informática
Planificación de auditoría informáticaMiguel Rodríguez
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informáticaVanessa Castillo
 
AUDITORIA DE GESTION INFORMATICA
AUDITORIA DE GESTION INFORMATICAAUDITORIA DE GESTION INFORMATICA
AUDITORIA DE GESTION INFORMATICADANIELAALEJANDRA2013
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónedithua
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informaticaCarlos Ledesma
 
Metodos de Auditoría Informatica 3
Metodos de Auditoría Informatica 3Metodos de Auditoría Informatica 3
Metodos de Auditoría Informatica 3UNEFA
 
Auditoria De Redes
Auditoria De RedesAuditoria De Redes
Auditoria De RedesCristian Paul
 
Auditoria de Sistemas
Auditoria de SistemasAuditoria de Sistemas
Auditoria de SistemasXioli Soteldito
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaEmilet de Sanoja
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaluismarlmg
 

Más contenido relacionado

La actualidad más candente

Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaErii Utatane
 
Auditorias de seguridad
Auditorias de seguridadAuditorias de seguridad
Auditorias de seguridadMario Meneses
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaOsita Sweet
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptFredy EC
 
Principales áreas de la auditoria informática
Principales áreas de la auditoria informáticaPrincipales áreas de la auditoria informática
Principales áreas de la auditoria informáticakicwua
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informáticaRoberto Porozo
 
Power point auditoria y sistemas
Power point auditoria y sistemasPower point auditoria y sistemas
Power point auditoria y sistemasAlexander Castillo
 
Auditoria informática
Auditoria informáticaAuditoria informática
Auditoria informáticaLuis Guallpa
 
Generalidades de la Auditoria de Sistemas (1ra y 2da Sesión)
Generalidades de la Auditoria de Sistemas (1ra y 2da Sesión)Generalidades de la Auditoria de Sistemas (1ra y 2da Sesión)
Generalidades de la Auditoria de Sistemas (1ra y 2da Sesión)Eva Salmerón
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaJorge Moya
 
diapositivas auditoria de sistemas
diapositivas auditoria de sistemasdiapositivas auditoria de sistemas
diapositivas auditoria de sistemasnelsyjazmin
 
Planificación de auditoría informática
Planificación de auditoría informáticaPlanificación de auditoría informática
Planificación de auditoría informáticaMiguel Rodríguez
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónedithua
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informaticaCarlos Ledesma
 
Metodos de Auditoría Informatica 3
Metodos de Auditoría Informatica 3Metodos de Auditoría Informatica 3
Metodos de Auditoría Informatica 3UNEFA
 

La actualidad más candente (20)

Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditorias de seguridad
Auditorias de seguridadAuditorias de seguridad
Auditorias de seguridad
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.ppt
 
Principales áreas de la auditoria informática
Principales áreas de la auditoria informáticaPrincipales áreas de la auditoria informática
Principales áreas de la auditoria informática
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
 
Power point auditoria y sistemas
Power point auditoria y sistemasPower point auditoria y sistemas
Power point auditoria y sistemas
 
Auditoria informática
Auditoria informáticaAuditoria informática
Auditoria informática
 
Generalidades de la Auditoria de Sistemas (1ra y 2da Sesión)
Generalidades de la Auditoria de Sistemas (1ra y 2da Sesión)Generalidades de la Auditoria de Sistemas (1ra y 2da Sesión)
Generalidades de la Auditoria de Sistemas (1ra y 2da Sesión)
 
Auditoria de SISTEMAS
Auditoria de SISTEMASAuditoria de SISTEMAS
Auditoria de SISTEMAS
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
diapositivas auditoria de sistemas
diapositivas auditoria de sistemasdiapositivas auditoria de sistemas
diapositivas auditoria de sistemas
 
Planificación de auditoría informática
Planificación de auditoría informáticaPlanificación de auditoría informática
Planificación de auditoría informática
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informática
 
AUDITORIA DE GESTION INFORMATICA
AUDITORIA DE GESTION INFORMATICAAUDITORIA DE GESTION INFORMATICA
AUDITORIA DE GESTION INFORMATICA
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de información
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informatica
 
Metodos de Auditoría Informatica 3
Metodos de Auditoría Informatica 3Metodos de Auditoría Informatica 3
Metodos de Auditoría Informatica 3
 
Auditoria De Redes
Auditoria De RedesAuditoria De Redes
Auditoria De Redes
 
Auditoria de Sistemas
Auditoria de SistemasAuditoria de Sistemas
Auditoria de Sistemas
 

Destacado

Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaluismarlmg
 
Guia para examen de iformatica iii
Guia para examen de iformatica iiiGuia para examen de iformatica iii
Guia para examen de iformatica iiicharlyhp256
 
Outsourcing,
Outsourcing,Outsourcing,
Outsourcing,vianssh
 
1.Visual Studio Team System
1.Visual Studio Team System1.Visual Studio Team System
1.Visual Studio Team SystemDebora Di Piano
 
Trabajo de iformatica aplicada
Trabajo de iformatica aplicadaTrabajo de iformatica aplicada
Trabajo de iformatica aplicadaDahiaJR
 
Sistemas técnicos en la informática
Sistemas técnicos en la informáticaSistemas técnicos en la informática
Sistemas técnicos en la informáticaabicofee
 
Control de los sistemas técnicos de la informática
Control de los sistemas técnicos de la informáticaControl de los sistemas técnicos de la informática
Control de los sistemas técnicos de la informáticaguayoaa
 
El control de la informática en los procesos tecnicos
El control de la informática en los procesos tecnicosEl control de la informática en los procesos tecnicos
El control de la informática en los procesos tecnicosDairy Fuentes Martinez
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónUniversidad San Agustin
 
Planeacion y organización tecnica
Planeacion y organización tecnicaPlaneacion y organización tecnica
Planeacion y organización tecnicajaie453
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informaticaWil Vin
 

Destacado (15)

Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Tecnología
TecnologíaTecnología
Tecnología
 
Guia para examen de iformatica iii
Guia para examen de iformatica iiiGuia para examen de iformatica iii
Guia para examen de iformatica iii
 
Outsourcing,
Outsourcing,Outsourcing,
Outsourcing,
 
1.Visual Studio Team System
1.Visual Studio Team System1.Visual Studio Team System
1.Visual Studio Team System
 
Trabajo de iformatica aplicada
Trabajo de iformatica aplicadaTrabajo de iformatica aplicada
Trabajo de iformatica aplicada
 
Clase 1 fudamentos
Clase 1 fudamentosClase 1 fudamentos
Clase 1 fudamentos
 
Sistemas técnicos en la informática
Sistemas técnicos en la informáticaSistemas técnicos en la informática
Sistemas técnicos en la informática
 
Control de los sistemas técnicos de la informática
Control de los sistemas técnicos de la informáticaControl de los sistemas técnicos de la informática
Control de los sistemas técnicos de la informática
 
Sistemas técnicos de la Informática
Sistemas técnicos de la InformáticaSistemas técnicos de la Informática
Sistemas técnicos de la Informática
 
El control de la informática en los procesos tecnicos
El control de la informática en los procesos tecnicosEl control de la informática en los procesos tecnicos
El control de la informática en los procesos tecnicos
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - Introducción
 
Planeacion y organización tecnica
Planeacion y organización tecnicaPlaneacion y organización tecnica
Planeacion y organización tecnica
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
 

Similar a Tema 2

Informes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesInformes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesLiliana Nieto
 
C:\fakepath\auditoria informatica
C:\fakepath\auditoria informaticaC:\fakepath\auditoria informatica
C:\fakepath\auditoria informaticaHernan Cajo Riofrio
 
C:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticaC:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticafabianlfb182
 
Informe carlos rodriguez auditoria
Informe carlos rodriguez auditoriaInforme carlos rodriguez auditoria
Informe carlos rodriguez auditoriaKarlytozdj
 
Auditoria De Sistemas Sesion 3
Auditoria De Sistemas Sesion 3Auditoria De Sistemas Sesion 3
Auditoria De Sistemas Sesion 3Teresa Cossio
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaveroalexa10
 
Auditoria de Sistemas
Auditoria de Sistemas Auditoria de Sistemas
Auditoria de Sistemas Michelle Perez
 
Elizabeth vasquez auditoria informatica
Elizabeth vasquez auditoria informaticaElizabeth vasquez auditoria informatica
Elizabeth vasquez auditoria informaticaIUPSM
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informáticaJuan Prieto
 

Similar a Tema 2 (20)

Informes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesInformes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionales
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
auditoria
auditoriaauditoria
auditoria
 
C:\fakepath\auditoria informatica
C:\fakepath\auditoria informaticaC:\fakepath\auditoria informatica
C:\fakepath\auditoria informatica
 
C:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticaC:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informatica
 
Informe carlos rodriguez auditoria
Informe carlos rodriguez auditoriaInforme carlos rodriguez auditoria
Informe carlos rodriguez auditoria
 
Auditoria De Sistemas Sesion 3
Auditoria De Sistemas Sesion 3Auditoria De Sistemas Sesion 3
Auditoria De Sistemas Sesion 3
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria de Sistemas
Auditoria de Sistemas Auditoria de Sistemas
Auditoria de Sistemas
 
Elizabeth vasquez auditoria informatica
Elizabeth vasquez auditoria informaticaElizabeth vasquez auditoria informatica
Elizabeth vasquez auditoria informatica
 
Auditoria ii ye
Auditoria ii yeAuditoria ii ye
Auditoria ii ye
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informática
 
Auditoria informática
Auditoria informáticaAuditoria informática
Auditoria informática
 
2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno
 
2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno
 
2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno
 
2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno
 
2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno
 
2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno
 
2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno
 

Más de Carmelo Branimir España Villegas

Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpMicrosoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpCarmelo Branimir España Villegas
 

Más de Carmelo Branimir España Villegas (20)

La norma de calidad ISO 25000, aplíquela
La norma de calidad ISO 25000, aplíquelaLa norma de calidad ISO 25000, aplíquela
La norma de calidad ISO 25000, aplíquela
 
Nosotros los maduritos
Nosotros los maduritosNosotros los maduritos
Nosotros los maduritos
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivo
 
Tema 7
Tema 7Tema 7
Tema 7
 
Tema 8
Tema 8Tema 8
Tema 8
 
Tema 9
Tema 9Tema 9
Tema 9
 
Tema 6
Tema 6Tema 6
Tema 6
 
Tema 5
Tema 5Tema 5
Tema 5
 
Tema 3
Tema 3Tema 3
Tema 3
 
Tema 1
Tema 1Tema 1
Tema 1
 
Tema 4
Tema 4Tema 4
Tema 4
 
Introduccion ipv6 v11
Introduccion ipv6 v11Introduccion ipv6 v11
Introduccion ipv6 v11
 
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpMicrosoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
 
Tema 1
Tema 1Tema 1
Tema 1
 
Tema 4
Tema 4Tema 4
Tema 4
 
Tema 1tarea
Tema 1tareaTema 1tarea
Tema 1tarea
 
Memorias de un ingeniero
Memorias de un ingenieroMemorias de un ingeniero
Memorias de un ingeniero
 
Edad media
Edad mediaEdad media
Edad media
 
Edad media
Edad mediaEdad media
Edad media
 
Explicacion crisis
Explicacion crisisExplicacion crisis
Explicacion crisis
 

Tema 2

  • 1. Auditoría informática Organización del departamento de auditoría informática Capítulo 2
  • 2. Antecedentes Análisis del nacimiento y existencia de la auditoría informática desde el punto de vista empresarial Análisis del contexto organizativo y ambiental de desenvolvimiento empezamos Carmelo España V. -- Auditoría Iformática Contexto Estratégico y Operativo de la Organización SI y la arquitectura que los soporta, desempeñan un papel importante como uno de los soportes básicos para la gestión y control del negocio Sistemas de Información de la organizaciónda lugar
  • 3. Antecedentes Auditoría informática Auditoría en general Auditoría interna • contabilidad •Control •Veracidad de operaciones •etc Carmelo España V. -- Auditoría Iformática Como consecuencia de la necesidad de controlar y registrar operaciones
  • 4. Antecedentes Carmelo España V. -- Auditoría Iformática AUDITORÍA INFORMATICA  SI  Recursos que manejan  inversiones que se ponen a disposición de estos recursos para el funcionamiento y obtención de resultados esperados Departamento de Sistemas de Información Gestiona
  • 5. Antecedentes Carmelo España V. -- Auditoría Iformática Auditoría “alrededor del ordenador” O Auditor verificaba los documentos de entrada al ordenador y los informes producidos, sin entender lo que pasaba dentro del ordenador O Auditor verificaba la seguridad física (incendios, copias de seguridad, etc.) O Auditor financiero Auditoría “a través del ordenador” O Auditor financiero utiliza el ordenador como medio para acceder a los datos (a través de paquetes) Auditoría “con el ordenador” O Utilizando sus posibilidades, utilidades, etc.
  • 6. Antecedentes Carmelo España V. -- Auditoría Iformática ¿Qué áreas de una Institución se puede aplicar la Auditoria Informática?
  • 7. Antecedentes Carmelo España V. -- Auditoría Iformática Las áreas donde se puede realizar la auditoria informática, pueden ser: O A toda la Entidad O A un departamento O A un área O A una función O A una subfunción
  • 8. Clases de AUDITORIA INFORMÁTICA 1. ¿Qué clases de Auditorías Informáticas mencionamos la anterior clase? 5 minutos de discusión Actividad para la clase
  • 9. Clases de AUDITORIA INFORMÁTICA 1. Auditoría de la gestión: Referido a la contratación de bienes y servicios, documentación de los programas, etc. 2. Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos. 3. Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas. 4. Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos. 5. Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
  • 10. 6. Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno. 7. Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información. 8. Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación. 9. Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes. Clases de AUDITORIA INFORMÁTICA
  • 11. Auditoría Interna informática Se define como una función de valoración independiente establecida dentro de una organización para examinar y evaluar sus actividades como un servicio a la organización. Su objetivo es asistir a los miembros de la organización en el cumplimiento efectivo de sus responsabilidades. Proporciona análisis, valoraciones, recomendaciones, consejo e información sobre las actividades revisadas. El alcance de la auditoría interna debe abarcar el examen y evaluación de la adecuación y efectividad del sistema de control interno y la calidad de la de ejecución en la realización de las responsabilidades asignadas. Clases de AUDITORIA INFORMÁTICA
  • 12. Auditoría Interna informática Clases de AUDITORIA INFORMÁTICA No puede tomar parte en funciones de tipo operativo 1. Control de los controles O Evaluar la adecuación, grado de efectividad y eficiencia del sistema de control interno de una empresa 2. Ayudar a la Dirección en el cumplimiento de sus responsabilidades y contribuir a que se logren en cada área resultados óptimos O Prestar un servicio de asistencia y de crítica constructiva 3. Funciones principales con respecto al control interno O Determinar si los Controles Internos proporcionan la protección necesaria, así como la máxima eficacia operativa O Comprobar si los procedimientos operativos y métodos se utilizan tal y como está establecido en las normas de la empresa
  • 13. Auditoría Interna informática NO es… Clases de AUDITORIA INFORMÁTICA Sitio de “retiro” para directivo en desgracia u obsoletos Centro de inquisidores (auditoría policíaca) Agrupación de “delatores” Proveedor de “mano de obra”, para solucionar situaciones de emergencia de otros departamentos Departamento de filtraciones, obtenidas a través de la actividad auditora Auxiliar de la auditoría externa o un enemigo permanente de ésta Un “apaga fuegos” para toda situación de emergencia Un lugar de resentidos y descontentos, que se creen los más capacitados y todo lo enjuician negativamente Un departamento sin categoría ni prestigio en la empresa
  • 14. Auditoría Externa informática La auditoría externa se puede definir como un servicio público o privado prestado por profesionales calificados en Auditoría Informática, que consiste en la realización, según normas y técnicas específicas, de una revisión de las TIC, a fin de expresar su opinión independiente sobre si lo auditado presentan violaciones, irregularidades, fraudes u errores en un momento dado, sus resultados y hallazgos durante un periodo determinado, de acuerdo con las normas de control interno, normas ISO, de la Contraloría General de la República y otras que sea de competencias. Clases de AUDITORIA INFORMÁTICA
  • 15. Auditoría Externa informática Clases de AUDITORIA INFORMÁTICA  Realizada por alguien ajeno a la entidad auditada  Se centran en las deficiencias de los controles internos  Diferencias con la auditoría interna: O Sujeto O Profesional independiente / Empleado de la empresa O Objeto O Opinión independiente / Control y sugerencias de mejora O Informe O Dictamen / Sólo recomendaciones internas O Responsabilidad O Civil e incluso penal / Laboral O Continuidad O Periódica / Continua
  • 16. Función de auditoría informática Carmelo España V. -- Auditoría Iformática O Evaluación, verificación e implantación oportuna de los controles y procedimientos que se requieren para el aseguramiento del buen uso y aprovechamiento de la función de informática. O Aseguramiento permanente de la existencia y cumplimiento de los controles y procedimientos que regulan las actividades y utilización de los recursos de informática de acuerdo con las políticas de la organización. O Desarrollar la auditoría en informática conforme normas y políticas estandarizadas a nivel nacional e internacional.
  • 17. Función de auditoría informática Carmelo España V. -- Auditoría Iformática O Evaluar las áreas de riesgo de la función de informática y justificar su evaluación con la alta dirección del negocio. O Elaborar un plan de auditoria en informática en los plazos determinados por el responsable de la función. O Obtener la aprobación formal de los proyectos del plan y difundirlos entre los involucrados para su compromiso. O Administrar o ejecutar de manera eficiente los proyectos contemplados en el plan de la auditoría en informática.
  • 18. Perfiles profesionales de la función de auditoría informática Carmelo España V. -- Auditoría Iformática elaborar un perfil de un profesional de auditoría Informática. (10 min) Luego, armamos un perfil completo con todos ellos. Actividad para la clase
  • 19. Perfiles profesionales de la función de auditoría informática Carmelo España V. -- Auditoría Iformática 1. Ser experto auditor (Financiero) 2. Entender el diseño y modo de operar el sistema 3. Tener conocimientos básicos de técnicas y lenguajes de programación 4. Estar familiarizados con los sistemas operativos 5. Serle factible poder identificar problemas con los formatos y estructuras de bases de datos 6. Ser capaz de tender un puente entre en el profesional de tecnologias de la información 7. Saber cuando pedir apoyo de un especialista 8. Responsabilidades O Auditar aplicaciones financieras y seguridad física O Ofrecer soporte con limitaciones a los auditores financieros y externos 9. Persona con alto grado de calificación técnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales
  • 20. Perfiles profesionales de la función de auditoría informática Carmelo España V. -- Auditoría Iformática 10. Perfil O Formación básica con una mezcla de conocimientos de auditoría financiera y de informática en general (p.e. Desarrollo de aplicaciones, C.V., gestión de proyectos, BD, S.O., redes, etc.) O Especialización en función del entorno empresarial O Gestión del Cambio O Calidad Total, que hará que su trabajo sea reconocido como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad
  • 21. Dimensiones del Trabajo del Auditor Informático 1. Revisión de Controles de las Aplicaciones O Determinar que los sistemas producen la información a tiempo, exacta y completa 2. Revisión de Integridad de Datos O Compleción, consistencia y exactitud 3. Revisión de C.V. de Desarrollo O Determinar la adherencia a los estándares de CV de desarrollo aceptados 4. Revisión de Controles Generales de los Procedimientos Operacionales O Determinar que las aplicaciones se procesan en un entorno controlado 5. Revisión de Seguridad O Asegurar la protección adecuada de los programas, de los datos y de la instalación de procesamiento de datos
  • 22. 6. Revisión Software de los Sistemas O Determinar el cumplimiento con las políticas de la organización 7. Revisión de Mantenimiento O Determinar que los sistemas se han modificado de acuerdo con las políticas de la organización 8. Revisión de Adquisición O Determinar que los recursos de la organización se están utilizando de forma económica 9. Revisión de la Gestión de Recursos del Procesamiento de Datos O Determinar su adecuación en el cumplimiento de los objetivos organizativos 10. Gestión de Auditoría Informática O Utilizar de forma efectiva los recursos disponibles de la función de la auditoría informática y para cumplir el requisito de auditoría informática de la organización Dimensiones del Trabajo del Auditor Informático
  • 23. Funciones a desarrollar por la auditoría informática Carmelo España V. -- Auditoría Iformática O Verificación del control interno, tanto de las aplicaciones como de los sistemas informáticos, centrales y periféricos. O Análisis de la gestión de los sistemas de información desde un vista de riesgo de seguridad, de gestión y de efectividad de la gestión. O Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de las aplicaciones. Esta función, que la vienen desempeñando los auditores informáticos, están empezando ya a desarrollarlas los auditores financieros. O Auditoría del riesgo operativo de los circuitos de información.
  • 24. Funciones a desarrollar por la auditoría informática Carmelo España V. -- Auditoría Iformática Análisis de la gestión de los riesgos de la información y de la seguridad implícita. Verificación del nivel de continuidad de las operaciones (a realizar conjuntamente con los auditores financieros) Análisis del estado del arte tecnológico de la instalación revisada y de las consecuencias empresariales que un desfase tecnológico pueda acarrear. Diagnóstico sobre el grado de cobertura que dan las aplicaciones a las necesidades estratégicas y operativas de información de la organización
  • 25. Organización de la función de auditoría informática O La función de auditoría informática a pasado de ser una función meramente de ayuda al auditor financiero a ser una función que desarrolla un trabajo y lo seguirá haciendo en el futuro. O Pasa a ser auditor y consultor del ente empresarial, en el que va a ser analista, auditor y asesor en materia de: O Seguridad O Control interno operativo O Eficiencia y eficacia O Tecnología informática O Continuidad de operaciones O Gestión de negocios O No solamente de los sistemas informáticos objetos de estudio, sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial.
  • 26. O El tipo de papel que debe desempeñar el auditor dentro de una organización son: O Su localización debe estar ligada a la localización de la auditoría interna operativa y financiera, pero con independencia de objetos, de planes de formación y de presupuesto. O La organización operativa tipo debe ser la de un grupo independiente del de auditoria interna, con una accesibilidad total al de los sistemas informáticos y de información. O La dependencia en todo caso debe ser del máximo responsable operativo de la organización. O Este personal debe contemplar su titulación de la CISA como un elemento básico para comenzar su carrera como auditor informático. Organización de la función de auditoría informática
  • 27. O La organización interna tipo de la organización podría ser: O Jefe de departamento O Gerente o supervisor de auditoría informática O Auditor informático O El tamaño solo se puede precisar un función de los objetivos de la función. O Se podría considerar: O Especialista en el entorno informático a auditar O Especialista en comunicación y/o redes O Responsables de gestión de riesgos operativo y aplicaciones O Responsables de la auditoria de sistemas de información O Especialista para la elaboración de programas de trabajo conjuntos con la auditoría financiera Organización de la función de auditoría informática
  • 28. Resumidamente, las funciones del Departamento de Auditoria Informática serán: O Evaluar los sistemas que aseguran el cumplimiento de las políticas, planes, procedimientos, normas y reglamentos, emitiendo sugerencias de mejora en los controles internos establecidos. O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Dirección de la Sociedad, realizando el seguimiento de las recomendaciones emitidas. O Revisar y evaluar la fiabilidad del sistema contable establecido y que éste responde a la normativa legal e interna. O Evaluar, asimismo, a través de la auditoria informática, la adecuación, utilidad, eficiencia, fiabilidad y salvaguarda de la información mecanizada de la Sociedad así como la organización de los servicios que la elaboran y procesan. Funciones del Departamento de Auditoria
  • 29. O Verificar la existencia de los activos y revisar los medios de salvaguarda de los mismos. O Colaborar con los auditores externos, integrando su labor con los objetivos del Departamento de Auditoria Interna. El auditor externo debe tener acceso a los informes de auditoría interna y debe ser informado de cualquier asunto que, estando en conocimiento de los auditores internos, pueda afectar a su trabajo. De igual manera, los auditores externos deberán comunicarles cualquier asunto que pudiera afectar a la auditoría interna. Deberán estar coordinados para evitar duplicidades en el trabajo a realizar, por medio de reuniones periódicas y la puesta en común de técnicas de auditoria, métodos y terminología. O Asistir a los miembros de la organización, proporcionándoles análisis, recomendaciones, consejo e información concerniente a las actividades revisadas. Funciones del Departamento de Auditoria
  • 30. O Evaluar la posibilidad de establecer (y en caso afirmativo, implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente, por medios informáticos, de operaciones anómalas, al objeto de prevenir y detectar rápidamente incidencias de normativa, mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organización o pueden provocar pérdidas de rentabilidad o de negocio. O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboración y publicación de la información financiera, proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentación a entregar por parte de Sociedad al Organismo Supervisor. Funciones del Departamento de Auditoria
  • 31. O Proporcionar un grado razonable de seguridad acerca del cumplimiento de las leyes y normativa en vigor aplicable. O Informar a la Dirección de cuantas anomalías o irregularidades se detecten, recomendando las mejores acciones correctoras. O Evaluar que la organización cuenta con los medios humanos y materiales que garanticen la adecuada gestión del negocio, a través de la oportuna segregación de funciones. O Elaborar un Código de Conducta a nivel corporativo, que sea aprobado por el Consejo de Administración de la Sociedad y evaluar periódicamente el cumplimiento del mismo. O En caso preciso, la ejecución de investigaciones especiales. Funciones del Departamento de Auditoria
  • 32. ¿Cuál podría ser la Organización del departamento de Auditoria Informática y las funciones de cada uno? Organización del Departamento de Auditoria Actividad para la clase
  • 33. La organización interna podría ser: O Jefe del departamento. O Gerente o supervisor de auditoria informática. O Auditor informático. Organización del Departamento de Auditoria
  • 34. Jefe del departamento. O Desarrolla el plan operativo del departamento, las descripciones de los puestos de trabajo del personal a su cargo, las planificaciones de actuación a un año, los métodos de gestión del cambio en su función y los programas de formación individualizados, así como gestiona los programas de trabajo y los trabajos en si, los cambios en los métodos de trabajo y evalúa la capacidad de las personas a su cargo. Organización del Departamento de Auditoria
  • 35. Gerente o supervisor de auditoria informática. O Trabaja estrechamente con el jefe del departamento en las tareas operativas diarias. Ayuda en la evaluación del riesgo de cada uno de los trabajos, realiza los programas de trabajo, dirige y supervisa directamente a las personas en cada uno de los trabajos de los que es responsable. O Realiza la formación sobre el trabajo. O Es responsable junto con su jefe de la obtención del mejor resultado del trabajo para el auditado, entroncando los conceptos de valor añadido y gestión del cambio dentro de su trabajo. O Es el que mas “vende” la función con el auditado. Organización del Departamento de Auditoria
  • 36. Auditor informático. O Son responsables para la ejecución directa del trabajo. O Deben tener una especialización genérica, pero también una especifica, según se comento anteriormente. O Su trabajo consistirá en la obtención de información, realización de pruebas, documentación del trabajo, evaluación y diagnostico de resultados. Organización del Departamento de Auditoria
  • 37. El tamaño del departamento solo se puede precisar en función de los objetivos de la función, para una organización tipo, el abanico de responsabilidades O Debería cubrir: 􀁺 Especialista en el entorno informático a auditar y en gestión de bases de datos. 􀁺 Especialista en comunicaciones y/o redes. 􀁺 Responsable de gestión de riesgo operativo y aplicaciones 􀁺 Responsable de la auditoria de sistemas de información, tanto en explotación como en desarrollo. 􀁺 En su caso, especialista para la elaboración de programas de trabajo conjuntos con la Auditoria Financiera. Tamaño del Departamento de Auditoria
  • 38. Existe una pregunta que siempre se hace y es difícil de contestar: O Cuantos auditores necesitamos? O Existe una metodología que nos puede ayudar...? La respuesta es SI y una de ellas es la Matriz de Riesgos. Tamaño del Departamento de Auditoria
  • 40. TAREA 1. Investigar sobre la Matriz de Riesgos. (10 min) 2. Qué es ISO 17799, ISO 15333, ISO 9000, BCP, ERM, ACL, WIN IDEA. (exposición 20 minutos) 3. Resumen del tema 2 (5 min)