2. Antecedentes
Análisis del nacimiento y
existencia de la auditoría
informática desde el
punto de vista
empresarial
Análisis del contexto
organizativo y ambiental
de desenvolvimiento
empezamos
Carmelo España V. -- Auditoría Iformática
Contexto Estratégico y Operativo de la Organización
SI y la arquitectura que los soporta, desempeñan un papel
importante como uno de los soportes básicos para la
gestión y control del negocio
Sistemas de Información de la organizaciónda lugar
4. Antecedentes
Carmelo España V. -- Auditoría Iformática
AUDITORÍA INFORMATICA
SI
Recursos que manejan
inversiones que se ponen a
disposición de estos recursos para
el funcionamiento y obtención
de resultados esperados
Departamento
de Sistemas de
Información
Gestiona
5. Antecedentes
Carmelo España V. -- Auditoría Iformática
Auditoría “alrededor del ordenador”
O Auditor verificaba los documentos de entrada al ordenador y
los informes producidos, sin entender lo que pasaba dentro del
ordenador
O Auditor verificaba la seguridad física (incendios, copias de
seguridad, etc.)
O Auditor financiero
Auditoría “a través del ordenador”
O Auditor financiero utiliza el ordenador como medio para
acceder a los datos (a través de paquetes)
Auditoría “con el ordenador”
O Utilizando sus posibilidades, utilidades, etc.
6. Antecedentes
Carmelo España V. -- Auditoría Iformática
¿Qué áreas de una Institución se
puede aplicar la Auditoria
Informática?
7. Antecedentes
Carmelo España V. -- Auditoría Iformática
Las áreas donde se puede realizar la auditoria informática,
pueden ser:
O A toda la Entidad
O A un departamento
O A un área
O A una función
O A una subfunción
8. Clases de AUDITORIA INFORMÁTICA
1. ¿Qué clases de Auditorías Informáticas mencionamos la anterior clase?
5 minutos de discusión
Actividad para la clase
9. Clases de AUDITORIA INFORMÁTICA
1. Auditoría de la gestión: Referido a la contratación de bienes y servicios,
documentación de los programas, etc.
2. Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de
las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley
Orgánica de Protección de Datos.
3. Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y
análisis de los flujogramas.
4. Auditoría de las bases de datos: Controles de acceso, de actualización, de
integridad y calidad de los datos.
5. Auditoría de la seguridad: Referidos a datos e información verificando
disponibilidad, integridad, confidencialidad, autenticación y no repudio.
10. 6. Auditoría de la seguridad física: Referido a la ubicación de la organización,
evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física
de esta. También está referida a las protecciones externas (arcos de seguridad,
CCTV, vigilantes, etc.) y protecciones del entorno.
7. Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los
sistemas de información.
8. Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de
autenticación en los sistemas de comunicación.
9. Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.
Clases de AUDITORIA INFORMÁTICA
11. Auditoría Interna informática
Se define como una función de valoración independiente establecida
dentro de una organización para examinar y evaluar sus actividades como
un servicio a la organización.
Su objetivo es asistir a los miembros de la organización en el cumplimiento
efectivo de sus responsabilidades.
Proporciona análisis, valoraciones, recomendaciones, consejo e
información sobre las actividades revisadas.
El alcance de la auditoría interna debe abarcar el examen y evaluación de
la adecuación y efectividad del sistema de control interno y la calidad de la
de ejecución en la realización de las responsabilidades asignadas.
Clases de AUDITORIA INFORMÁTICA
12. Auditoría Interna informática
Clases de AUDITORIA INFORMÁTICA
No puede tomar parte en funciones de tipo operativo
1. Control de los controles
O Evaluar la adecuación, grado de efectividad y eficiencia del sistema
de control interno de una empresa
2. Ayudar a la Dirección en el cumplimiento de sus responsabilidades y
contribuir a que se logren en cada área resultados óptimos
O Prestar un servicio de asistencia y de crítica constructiva
3. Funciones principales con respecto al control interno
O Determinar si los Controles Internos proporcionan la protección
necesaria, así como la máxima eficacia operativa
O Comprobar si los procedimientos operativos y métodos se utilizan
tal y como está establecido en las normas de la empresa
13. Auditoría Interna informática NO es…
Clases de AUDITORIA INFORMÁTICA
Sitio de “retiro” para directivo en desgracia u obsoletos
Centro de inquisidores (auditoría policíaca)
Agrupación de “delatores”
Proveedor de “mano de obra”, para solucionar situaciones de
emergencia de otros departamentos
Departamento de filtraciones, obtenidas a través de la actividad
auditora
Auxiliar de la auditoría externa o un enemigo permanente de ésta
Un “apaga fuegos” para toda situación de emergencia
Un lugar de resentidos y descontentos, que se creen los más
capacitados y todo lo enjuician negativamente
Un departamento sin categoría ni prestigio en la empresa
14. Auditoría Externa informática
La auditoría externa se puede definir como un servicio público o privado
prestado por profesionales calificados en Auditoría Informática, que
consiste en la realización, según normas y técnicas específicas, de una
revisión de las TIC, a fin de expresar su opinión independiente sobre si lo
auditado presentan violaciones, irregularidades, fraudes u errores en un
momento dado, sus resultados y hallazgos durante un periodo
determinado, de acuerdo con las normas de control interno, normas ISO,
de la Contraloría General de la República y otras que sea de
competencias.
Clases de AUDITORIA INFORMÁTICA
15. Auditoría Externa informática
Clases de AUDITORIA INFORMÁTICA
Realizada por alguien ajeno a la entidad auditada
Se centran en las deficiencias de los controles internos
Diferencias con la auditoría interna:
O Sujeto
O Profesional independiente / Empleado de la empresa
O Objeto
O Opinión independiente / Control y sugerencias de mejora
O Informe
O Dictamen / Sólo recomendaciones internas
O Responsabilidad
O Civil e incluso penal / Laboral
O Continuidad
O Periódica / Continua
16. Función de auditoría informática
Carmelo España V. -- Auditoría Iformática
O Evaluación, verificación e implantación oportuna de los controles y
procedimientos que se requieren para el aseguramiento del buen uso y
aprovechamiento de la función de informática.
O Aseguramiento permanente de la existencia y cumplimiento de los controles
y procedimientos que regulan las actividades y utilización de los recursos de
informática de acuerdo con las políticas de la organización.
O Desarrollar la auditoría en informática conforme normas y políticas
estandarizadas a nivel nacional e internacional.
17. Función de auditoría informática
Carmelo España V. -- Auditoría Iformática
O Evaluar las áreas de riesgo de la función de informática y justificar su
evaluación con la alta dirección del negocio.
O Elaborar un plan de auditoria en informática en los plazos determinados por
el responsable de la función.
O Obtener la aprobación formal de los proyectos del plan y difundirlos entre
los involucrados para su compromiso.
O Administrar o ejecutar de manera eficiente los proyectos contemplados en
el plan de la auditoría en informática.
18. Perfiles profesionales de la función de auditoría informática
Carmelo España V. -- Auditoría Iformática
elaborar un perfil de un profesional de auditoría Informática.
(10 min)
Luego, armamos un perfil completo con todos ellos.
Actividad para la clase
19. Perfiles profesionales de la función de auditoría informática
Carmelo España V. -- Auditoría Iformática
1. Ser experto auditor (Financiero)
2. Entender el diseño y modo de operar el sistema
3. Tener conocimientos básicos de técnicas y lenguajes de
programación
4. Estar familiarizados con los sistemas operativos
5. Serle factible poder identificar problemas con los formatos y
estructuras de bases de datos
6. Ser capaz de tender un puente entre en el profesional de tecnologias
de la información
7. Saber cuando pedir apoyo de un especialista
8. Responsabilidades
O Auditar aplicaciones financieras y seguridad física
O Ofrecer soporte con limitaciones a los auditores financieros y externos
9. Persona con alto grado de calificación técnica y al mismo tiempo
estar integrados en las corrientes organizativas empresariales
20. Perfiles profesionales de la función de auditoría informática
Carmelo España V. -- Auditoría Iformática
10. Perfil
O Formación básica con una mezcla de conocimientos de
auditoría financiera y de informática en general (p.e. Desarrollo
de aplicaciones, C.V., gestión de proyectos, BD, S.O., redes, etc.)
O Especialización en función del entorno empresarial
O Gestión del Cambio
O Calidad Total, que hará que su trabajo sea reconocido como un
elemento valioso dentro de la empresa y que los resultados
sean aceptados en su totalidad
21. Dimensiones del Trabajo del Auditor Informático
1. Revisión de Controles de las Aplicaciones
O Determinar que los sistemas producen la información a tiempo,
exacta y completa
2. Revisión de Integridad de Datos
O Compleción, consistencia y exactitud
3. Revisión de C.V. de Desarrollo
O Determinar la adherencia a los estándares de CV de desarrollo
aceptados
4. Revisión de Controles Generales de los Procedimientos
Operacionales
O Determinar que las aplicaciones se procesan en un entorno
controlado
5. Revisión de Seguridad
O Asegurar la protección adecuada de los programas, de los datos y
de la instalación de procesamiento de datos
22. 6. Revisión Software de los Sistemas
O Determinar el cumplimiento con las políticas de la organización
7. Revisión de Mantenimiento
O Determinar que los sistemas se han modificado de acuerdo con las
políticas de la organización
8. Revisión de Adquisición
O Determinar que los recursos de la organización se están utilizando de
forma económica
9. Revisión de la Gestión de Recursos del Procesamiento de Datos
O Determinar su adecuación en el cumplimiento de los objetivos
organizativos
10. Gestión de Auditoría Informática
O Utilizar de forma efectiva los recursos disponibles de la función de la
auditoría informática y para cumplir el requisito de auditoría informática de
la organización
Dimensiones del Trabajo del Auditor Informático
23. Funciones a desarrollar por la auditoría informática
Carmelo España V. -- Auditoría Iformática
O Verificación del control interno, tanto de las aplicaciones como de los
sistemas informáticos, centrales y periféricos.
O Análisis de la gestión de los sistemas de información desde un vista de
riesgo de seguridad, de gestión y de efectividad de la gestión.
O Análisis de la integridad, fiabilidad y certeza de la información a
través del análisis de las aplicaciones. Esta función, que la vienen
desempeñando los auditores informáticos, están empezando ya a
desarrollarlas los auditores financieros.
O Auditoría del riesgo operativo de los circuitos de información.
24. Funciones a desarrollar por la auditoría informática
Carmelo España V. -- Auditoría Iformática
Análisis de la gestión de los riesgos de la información y de la
seguridad implícita.
Verificación del nivel de continuidad de las operaciones
(a realizar conjuntamente con los auditores financieros)
Análisis del estado del arte tecnológico de la instalación
revisada y de las consecuencias empresariales que un
desfase tecnológico pueda acarrear.
Diagnóstico sobre el grado de cobertura que dan las
aplicaciones a las necesidades estratégicas y operativas de
información de la organización
25. Organización de la función de auditoría informática
O La función de auditoría informática a pasado de ser una función
meramente de ayuda al auditor financiero a ser una función que
desarrolla un trabajo y lo seguirá haciendo en el futuro.
O Pasa a ser auditor y consultor del ente empresarial, en el que va a ser
analista, auditor y asesor en materia de:
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnología informática
O Continuidad de operaciones
O Gestión de negocios
O No solamente de los sistemas informáticos objetos de estudio, sino de
las relaciones e implicaciones operativas que dichos sistemas tienen en
el contexto empresarial.
26. O El tipo de papel que debe desempeñar el auditor dentro de una
organización son:
O Su localización debe estar ligada a la localización de la auditoría
interna operativa y financiera, pero con independencia de objetos,
de planes de formación y de presupuesto.
O La organización operativa tipo debe ser la de un grupo
independiente del de auditoria interna, con una accesibilidad total al
de los sistemas informáticos y de información.
O La dependencia en todo caso debe ser del máximo responsable
operativo de la organización.
O Este personal debe contemplar su titulación de la CISA como un
elemento básico para comenzar su carrera como auditor
informático.
Organización de la función de auditoría informática
27. O La organización interna tipo de la organización podría ser:
O Jefe de departamento
O Gerente o supervisor de auditoría informática
O Auditor informático
O El tamaño solo se puede precisar un función de los objetivos de la
función.
O Se podría considerar:
O Especialista en el entorno informático a auditar
O Especialista en comunicación y/o redes
O Responsables de gestión de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de información
O Especialista para la elaboración de programas de trabajo
conjuntos con la auditoría financiera
Organización de la función de auditoría informática
28. Resumidamente, las funciones del Departamento de Auditoria
Informática serán:
O Evaluar los sistemas que aseguran el cumplimiento de las políticas,
planes, procedimientos, normas y reglamentos, emitiendo
sugerencias de mejora en los controles internos establecidos.
O Vigilar el cumplimiento de las normas e instrucciones establecidas
por la Dirección de la Sociedad, realizando el seguimiento de las
recomendaciones emitidas.
O Revisar y evaluar la fiabilidad del sistema contable establecido y
que éste responde a la normativa legal e interna.
O Evaluar, asimismo, a través de la auditoria informática, la
adecuación, utilidad, eficiencia, fiabilidad y salvaguarda de la
información mecanizada de la Sociedad así como la organización
de los servicios que la elaboran y procesan.
Funciones del Departamento de Auditoria
29. O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos.
O Colaborar con los auditores externos, integrando su labor con los
objetivos del Departamento de Auditoria Interna. El auditor externo
debe tener acceso a los informes de auditoría interna y debe ser
informado de cualquier asunto que, estando en conocimiento de
los auditores internos, pueda afectar a su trabajo. De igual manera,
los auditores externos deberán comunicarles cualquier asunto que
pudiera afectar a la auditoría interna. Deberán estar coordinados
para evitar duplicidades en el trabajo a realizar, por medio de
reuniones periódicas y la puesta en común de técnicas de
auditoria, métodos y terminología.
O Asistir a los miembros de la organización, proporcionándoles
análisis, recomendaciones, consejo e información concerniente a
las actividades revisadas.
Funciones del Departamento de Auditoria
30. O Evaluar la posibilidad de establecer (y en caso afirmativo,
implantarlo) un sistema de control a distancia para asegurar el
mantenimiento de un seguimiento permanente, por medios
informáticos, de operaciones anómalas, al objeto de prevenir y
detectar rápidamente incidencias de normativa, mediante un
modelo de indicadores ponderado que permita ejercer un
seguimiento permanente sobre determinadas situaciones que por
su gravedad pueden perjudicar sustancialmente a la organización o
pueden provocar pérdidas de rentabilidad o de negocio.
O Sugerir las medidas de control interno necesarias para garantizar el
cumplimiento de la normativa en la elaboración y publicación de la
información financiera, proporcionando un grado razonable de
control en el cumplimiento de fechas y plazos legales de la
documentación a entregar por parte de Sociedad al Organismo
Supervisor.
Funciones del Departamento de Auditoria
31. O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable.
O Informar a la Dirección de cuantas anomalías o irregularidades se
detecten, recomendando las mejores acciones correctoras.
O Evaluar que la organización cuenta con los medios humanos y
materiales que garanticen la adecuada gestión del negocio, a través de
la oportuna segregación de funciones.
O Elaborar un Código de Conducta a nivel corporativo, que sea aprobado
por el Consejo de Administración de la Sociedad y evaluar
periódicamente el cumplimiento del mismo.
O En caso preciso, la ejecución de investigaciones especiales.
Funciones del Departamento de Auditoria
32. ¿Cuál podría ser la Organización del departamento de
Auditoria Informática y las funciones de cada uno?
Organización del Departamento de Auditoria
Actividad para la clase
33. La organización interna podría ser:
O Jefe del departamento.
O Gerente o supervisor de auditoria informática.
O Auditor informático.
Organización del Departamento de Auditoria
34. Jefe del departamento.
O Desarrolla el plan operativo del departamento, las descripciones de los
puestos de trabajo del personal a su cargo, las planificaciones de
actuación a un año, los métodos de gestión del cambio en su función y
los programas de formación individualizados, así como gestiona los
programas de trabajo y los trabajos en si, los cambios en los métodos
de trabajo y evalúa la capacidad de las personas a su cargo.
Organización del Departamento de Auditoria
35. Gerente o supervisor de auditoria informática.
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias. Ayuda en la evaluación del riesgo de cada uno de los
trabajos, realiza los programas de trabajo, dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable.
O Realiza la formación sobre el trabajo.
O Es responsable junto con su jefe de la obtención del mejor resultado del
trabajo para el auditado, entroncando los conceptos de valor añadido y
gestión del cambio dentro de su trabajo.
O Es el que mas “vende” la función con el auditado.
Organización del Departamento de Auditoria
36. Auditor informático.
O Son responsables para la ejecución directa del trabajo.
O Deben tener una especialización genérica, pero también una
especifica, según se comento anteriormente.
O Su trabajo consistirá en la obtención de información, realización de
pruebas, documentación del trabajo, evaluación y diagnostico de
resultados.
Organización del Departamento de Auditoria
37. El tamaño del departamento solo se puede precisar en función de los objetivos
de la función, para una organización tipo, el abanico de responsabilidades
O Debería cubrir:
Especialista en el entorno informático a auditar y en gestión de bases
de datos.
Especialista en comunicaciones y/o redes.
Responsable de gestión de riesgo operativo y aplicaciones
Responsable de la auditoria de sistemas de información, tanto en
explotación como en desarrollo.
En su caso, especialista para la elaboración de programas de trabajo
conjuntos con la Auditoria Financiera.
Tamaño del Departamento de Auditoria
38. Existe una pregunta que siempre se hace y es difícil de
contestar:
O Cuantos auditores necesitamos?
O Existe una metodología que nos puede ayudar...?
La respuesta es SI y una de ellas es la Matriz de Riesgos.
Tamaño del Departamento de Auditoria
40. TAREA
1. Investigar sobre la Matriz de Riesgos. (10 min)
2. Qué es ISO 17799, ISO 15333, ISO 9000, BCP, ERM, ACL,
WIN IDEA. (exposición 20 minutos)
3. Resumen del tema 2 (5 min)