Se ha denunciado esta presentación.
Se está descargando tu SlideShare. ×
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Próximo SlideShare
Auditoria informatica
Auditoria informatica
Cargando en…3
×

Eche un vistazo a continuación

1 de 40 Anuncio
Anuncio

Más Contenido Relacionado

Presentaciones para usted (20)

Anuncio

Similares a Tema 2 (20)

Más de Carmelo Branimir España Villegas (20)

Anuncio

Tema 2

  1. 1. Auditoría informática Organización del departamento de auditoría informática Capítulo 2
  2. 2. Antecedentes Análisis del nacimiento y existencia de la auditoría informática desde el punto de vista empresarial Análisis del contexto organizativo y ambiental de desenvolvimiento empezamos Carmelo España V. -- Auditoría Iformática Contexto Estratégico y Operativo de la Organización SI y la arquitectura que los soporta, desempeñan un papel importante como uno de los soportes básicos para la gestión y control del negocio Sistemas de Información de la organizaciónda lugar
  3. 3. Antecedentes Auditoría informática Auditoría en general Auditoría interna • contabilidad •Control •Veracidad de operaciones •etc Carmelo España V. -- Auditoría Iformática Como consecuencia de la necesidad de controlar y registrar operaciones
  4. 4. Antecedentes Carmelo España V. -- Auditoría Iformática AUDITORÍA INFORMATICA  SI  Recursos que manejan  inversiones que se ponen a disposición de estos recursos para el funcionamiento y obtención de resultados esperados Departamento de Sistemas de Información Gestiona
  5. 5. Antecedentes Carmelo España V. -- Auditoría Iformática Auditoría “alrededor del ordenador” O Auditor verificaba los documentos de entrada al ordenador y los informes producidos, sin entender lo que pasaba dentro del ordenador O Auditor verificaba la seguridad física (incendios, copias de seguridad, etc.) O Auditor financiero Auditoría “a través del ordenador” O Auditor financiero utiliza el ordenador como medio para acceder a los datos (a través de paquetes) Auditoría “con el ordenador” O Utilizando sus posibilidades, utilidades, etc.
  6. 6. Antecedentes Carmelo España V. -- Auditoría Iformática ¿Qué áreas de una Institución se puede aplicar la Auditoria Informática?
  7. 7. Antecedentes Carmelo España V. -- Auditoría Iformática Las áreas donde se puede realizar la auditoria informática, pueden ser: O A toda la Entidad O A un departamento O A un área O A una función O A una subfunción
  8. 8. Clases de AUDITORIA INFORMÁTICA 1. ¿Qué clases de Auditorías Informáticas mencionamos la anterior clase? 5 minutos de discusión Actividad para la clase
  9. 9. Clases de AUDITORIA INFORMÁTICA 1. Auditoría de la gestión: Referido a la contratación de bienes y servicios, documentación de los programas, etc. 2. Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos. 3. Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas. 4. Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos. 5. Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
  10. 10. 6. Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno. 7. Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información. 8. Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación. 9. Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes. Clases de AUDITORIA INFORMÁTICA
  11. 11. Auditoría Interna informática Se define como una función de valoración independiente establecida dentro de una organización para examinar y evaluar sus actividades como un servicio a la organización. Su objetivo es asistir a los miembros de la organización en el cumplimiento efectivo de sus responsabilidades. Proporciona análisis, valoraciones, recomendaciones, consejo e información sobre las actividades revisadas. El alcance de la auditoría interna debe abarcar el examen y evaluación de la adecuación y efectividad del sistema de control interno y la calidad de la de ejecución en la realización de las responsabilidades asignadas. Clases de AUDITORIA INFORMÁTICA
  12. 12. Auditoría Interna informática Clases de AUDITORIA INFORMÁTICA No puede tomar parte en funciones de tipo operativo 1. Control de los controles O Evaluar la adecuación, grado de efectividad y eficiencia del sistema de control interno de una empresa 2. Ayudar a la Dirección en el cumplimiento de sus responsabilidades y contribuir a que se logren en cada área resultados óptimos O Prestar un servicio de asistencia y de crítica constructiva 3. Funciones principales con respecto al control interno O Determinar si los Controles Internos proporcionan la protección necesaria, así como la máxima eficacia operativa O Comprobar si los procedimientos operativos y métodos se utilizan tal y como está establecido en las normas de la empresa
  13. 13. Auditoría Interna informática NO es… Clases de AUDITORIA INFORMÁTICA Sitio de “retiro” para directivo en desgracia u obsoletos Centro de inquisidores (auditoría policíaca) Agrupación de “delatores” Proveedor de “mano de obra”, para solucionar situaciones de emergencia de otros departamentos Departamento de filtraciones, obtenidas a través de la actividad auditora Auxiliar de la auditoría externa o un enemigo permanente de ésta Un “apaga fuegos” para toda situación de emergencia Un lugar de resentidos y descontentos, que se creen los más capacitados y todo lo enjuician negativamente Un departamento sin categoría ni prestigio en la empresa
  14. 14. Auditoría Externa informática La auditoría externa se puede definir como un servicio público o privado prestado por profesionales calificados en Auditoría Informática, que consiste en la realización, según normas y técnicas específicas, de una revisión de las TIC, a fin de expresar su opinión independiente sobre si lo auditado presentan violaciones, irregularidades, fraudes u errores en un momento dado, sus resultados y hallazgos durante un periodo determinado, de acuerdo con las normas de control interno, normas ISO, de la Contraloría General de la República y otras que sea de competencias. Clases de AUDITORIA INFORMÁTICA
  15. 15. Auditoría Externa informática Clases de AUDITORIA INFORMÁTICA  Realizada por alguien ajeno a la entidad auditada  Se centran en las deficiencias de los controles internos  Diferencias con la auditoría interna: O Sujeto O Profesional independiente / Empleado de la empresa O Objeto O Opinión independiente / Control y sugerencias de mejora O Informe O Dictamen / Sólo recomendaciones internas O Responsabilidad O Civil e incluso penal / Laboral O Continuidad O Periódica / Continua
  16. 16. Función de auditoría informática Carmelo España V. -- Auditoría Iformática O Evaluación, verificación e implantación oportuna de los controles y procedimientos que se requieren para el aseguramiento del buen uso y aprovechamiento de la función de informática. O Aseguramiento permanente de la existencia y cumplimiento de los controles y procedimientos que regulan las actividades y utilización de los recursos de informática de acuerdo con las políticas de la organización. O Desarrollar la auditoría en informática conforme normas y políticas estandarizadas a nivel nacional e internacional.
  17. 17. Función de auditoría informática Carmelo España V. -- Auditoría Iformática O Evaluar las áreas de riesgo de la función de informática y justificar su evaluación con la alta dirección del negocio. O Elaborar un plan de auditoria en informática en los plazos determinados por el responsable de la función. O Obtener la aprobación formal de los proyectos del plan y difundirlos entre los involucrados para su compromiso. O Administrar o ejecutar de manera eficiente los proyectos contemplados en el plan de la auditoría en informática.
  18. 18. Perfiles profesionales de la función de auditoría informática Carmelo España V. -- Auditoría Iformática elaborar un perfil de un profesional de auditoría Informática. (10 min) Luego, armamos un perfil completo con todos ellos. Actividad para la clase
  19. 19. Perfiles profesionales de la función de auditoría informática Carmelo España V. -- Auditoría Iformática 1. Ser experto auditor (Financiero) 2. Entender el diseño y modo de operar el sistema 3. Tener conocimientos básicos de técnicas y lenguajes de programación 4. Estar familiarizados con los sistemas operativos 5. Serle factible poder identificar problemas con los formatos y estructuras de bases de datos 6. Ser capaz de tender un puente entre en el profesional de tecnologias de la información 7. Saber cuando pedir apoyo de un especialista 8. Responsabilidades O Auditar aplicaciones financieras y seguridad física O Ofrecer soporte con limitaciones a los auditores financieros y externos 9. Persona con alto grado de calificación técnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales
  20. 20. Perfiles profesionales de la función de auditoría informática Carmelo España V. -- Auditoría Iformática 10. Perfil O Formación básica con una mezcla de conocimientos de auditoría financiera y de informática en general (p.e. Desarrollo de aplicaciones, C.V., gestión de proyectos, BD, S.O., redes, etc.) O Especialización en función del entorno empresarial O Gestión del Cambio O Calidad Total, que hará que su trabajo sea reconocido como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad
  21. 21. Dimensiones del Trabajo del Auditor Informático 1. Revisión de Controles de las Aplicaciones O Determinar que los sistemas producen la información a tiempo, exacta y completa 2. Revisión de Integridad de Datos O Compleción, consistencia y exactitud 3. Revisión de C.V. de Desarrollo O Determinar la adherencia a los estándares de CV de desarrollo aceptados 4. Revisión de Controles Generales de los Procedimientos Operacionales O Determinar que las aplicaciones se procesan en un entorno controlado 5. Revisión de Seguridad O Asegurar la protección adecuada de los programas, de los datos y de la instalación de procesamiento de datos
  22. 22. 6. Revisión Software de los Sistemas O Determinar el cumplimiento con las políticas de la organización 7. Revisión de Mantenimiento O Determinar que los sistemas se han modificado de acuerdo con las políticas de la organización 8. Revisión de Adquisición O Determinar que los recursos de la organización se están utilizando de forma económica 9. Revisión de la Gestión de Recursos del Procesamiento de Datos O Determinar su adecuación en el cumplimiento de los objetivos organizativos 10. Gestión de Auditoría Informática O Utilizar de forma efectiva los recursos disponibles de la función de la auditoría informática y para cumplir el requisito de auditoría informática de la organización Dimensiones del Trabajo del Auditor Informático
  23. 23. Funciones a desarrollar por la auditoría informática Carmelo España V. -- Auditoría Iformática O Verificación del control interno, tanto de las aplicaciones como de los sistemas informáticos, centrales y periféricos. O Análisis de la gestión de los sistemas de información desde un vista de riesgo de seguridad, de gestión y de efectividad de la gestión. O Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de las aplicaciones. Esta función, que la vienen desempeñando los auditores informáticos, están empezando ya a desarrollarlas los auditores financieros. O Auditoría del riesgo operativo de los circuitos de información.
  24. 24. Funciones a desarrollar por la auditoría informática Carmelo España V. -- Auditoría Iformática Análisis de la gestión de los riesgos de la información y de la seguridad implícita. Verificación del nivel de continuidad de las operaciones (a realizar conjuntamente con los auditores financieros) Análisis del estado del arte tecnológico de la instalación revisada y de las consecuencias empresariales que un desfase tecnológico pueda acarrear. Diagnóstico sobre el grado de cobertura que dan las aplicaciones a las necesidades estratégicas y operativas de información de la organización
  25. 25. Organización de la función de auditoría informática O La función de auditoría informática a pasado de ser una función meramente de ayuda al auditor financiero a ser una función que desarrolla un trabajo y lo seguirá haciendo en el futuro. O Pasa a ser auditor y consultor del ente empresarial, en el que va a ser analista, auditor y asesor en materia de: O Seguridad O Control interno operativo O Eficiencia y eficacia O Tecnología informática O Continuidad de operaciones O Gestión de negocios O No solamente de los sistemas informáticos objetos de estudio, sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial.
  26. 26. O El tipo de papel que debe desempeñar el auditor dentro de una organización son: O Su localización debe estar ligada a la localización de la auditoría interna operativa y financiera, pero con independencia de objetos, de planes de formación y de presupuesto. O La organización operativa tipo debe ser la de un grupo independiente del de auditoria interna, con una accesibilidad total al de los sistemas informáticos y de información. O La dependencia en todo caso debe ser del máximo responsable operativo de la organización. O Este personal debe contemplar su titulación de la CISA como un elemento básico para comenzar su carrera como auditor informático. Organización de la función de auditoría informática
  27. 27. O La organización interna tipo de la organización podría ser: O Jefe de departamento O Gerente o supervisor de auditoría informática O Auditor informático O El tamaño solo se puede precisar un función de los objetivos de la función. O Se podría considerar: O Especialista en el entorno informático a auditar O Especialista en comunicación y/o redes O Responsables de gestión de riesgos operativo y aplicaciones O Responsables de la auditoria de sistemas de información O Especialista para la elaboración de programas de trabajo conjuntos con la auditoría financiera Organización de la función de auditoría informática
  28. 28. Resumidamente, las funciones del Departamento de Auditoria Informática serán: O Evaluar los sistemas que aseguran el cumplimiento de las políticas, planes, procedimientos, normas y reglamentos, emitiendo sugerencias de mejora en los controles internos establecidos. O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Dirección de la Sociedad, realizando el seguimiento de las recomendaciones emitidas. O Revisar y evaluar la fiabilidad del sistema contable establecido y que éste responde a la normativa legal e interna. O Evaluar, asimismo, a través de la auditoria informática, la adecuación, utilidad, eficiencia, fiabilidad y salvaguarda de la información mecanizada de la Sociedad así como la organización de los servicios que la elaboran y procesan. Funciones del Departamento de Auditoria
  29. 29. O Verificar la existencia de los activos y revisar los medios de salvaguarda de los mismos. O Colaborar con los auditores externos, integrando su labor con los objetivos del Departamento de Auditoria Interna. El auditor externo debe tener acceso a los informes de auditoría interna y debe ser informado de cualquier asunto que, estando en conocimiento de los auditores internos, pueda afectar a su trabajo. De igual manera, los auditores externos deberán comunicarles cualquier asunto que pudiera afectar a la auditoría interna. Deberán estar coordinados para evitar duplicidades en el trabajo a realizar, por medio de reuniones periódicas y la puesta en común de técnicas de auditoria, métodos y terminología. O Asistir a los miembros de la organización, proporcionándoles análisis, recomendaciones, consejo e información concerniente a las actividades revisadas. Funciones del Departamento de Auditoria
  30. 30. O Evaluar la posibilidad de establecer (y en caso afirmativo, implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente, por medios informáticos, de operaciones anómalas, al objeto de prevenir y detectar rápidamente incidencias de normativa, mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organización o pueden provocar pérdidas de rentabilidad o de negocio. O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboración y publicación de la información financiera, proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentación a entregar por parte de Sociedad al Organismo Supervisor. Funciones del Departamento de Auditoria
  31. 31. O Proporcionar un grado razonable de seguridad acerca del cumplimiento de las leyes y normativa en vigor aplicable. O Informar a la Dirección de cuantas anomalías o irregularidades se detecten, recomendando las mejores acciones correctoras. O Evaluar que la organización cuenta con los medios humanos y materiales que garanticen la adecuada gestión del negocio, a través de la oportuna segregación de funciones. O Elaborar un Código de Conducta a nivel corporativo, que sea aprobado por el Consejo de Administración de la Sociedad y evaluar periódicamente el cumplimiento del mismo. O En caso preciso, la ejecución de investigaciones especiales. Funciones del Departamento de Auditoria
  32. 32. ¿Cuál podría ser la Organización del departamento de Auditoria Informática y las funciones de cada uno? Organización del Departamento de Auditoria Actividad para la clase
  33. 33. La organización interna podría ser: O Jefe del departamento. O Gerente o supervisor de auditoria informática. O Auditor informático. Organización del Departamento de Auditoria
  34. 34. Jefe del departamento. O Desarrolla el plan operativo del departamento, las descripciones de los puestos de trabajo del personal a su cargo, las planificaciones de actuación a un año, los métodos de gestión del cambio en su función y los programas de formación individualizados, así como gestiona los programas de trabajo y los trabajos en si, los cambios en los métodos de trabajo y evalúa la capacidad de las personas a su cargo. Organización del Departamento de Auditoria
  35. 35. Gerente o supervisor de auditoria informática. O Trabaja estrechamente con el jefe del departamento en las tareas operativas diarias. Ayuda en la evaluación del riesgo de cada uno de los trabajos, realiza los programas de trabajo, dirige y supervisa directamente a las personas en cada uno de los trabajos de los que es responsable. O Realiza la formación sobre el trabajo. O Es responsable junto con su jefe de la obtención del mejor resultado del trabajo para el auditado, entroncando los conceptos de valor añadido y gestión del cambio dentro de su trabajo. O Es el que mas “vende” la función con el auditado. Organización del Departamento de Auditoria
  36. 36. Auditor informático. O Son responsables para la ejecución directa del trabajo. O Deben tener una especialización genérica, pero también una especifica, según se comento anteriormente. O Su trabajo consistirá en la obtención de información, realización de pruebas, documentación del trabajo, evaluación y diagnostico de resultados. Organización del Departamento de Auditoria
  37. 37. El tamaño del departamento solo se puede precisar en función de los objetivos de la función, para una organización tipo, el abanico de responsabilidades O Debería cubrir: 􀁺 Especialista en el entorno informático a auditar y en gestión de bases de datos. 􀁺 Especialista en comunicaciones y/o redes. 􀁺 Responsable de gestión de riesgo operativo y aplicaciones 􀁺 Responsable de la auditoria de sistemas de información, tanto en explotación como en desarrollo. 􀁺 En su caso, especialista para la elaboración de programas de trabajo conjuntos con la Auditoria Financiera. Tamaño del Departamento de Auditoria
  38. 38. Existe una pregunta que siempre se hace y es difícil de contestar: O Cuantos auditores necesitamos? O Existe una metodología que nos puede ayudar...? La respuesta es SI y una de ellas es la Matriz de Riesgos. Tamaño del Departamento de Auditoria
  39. 39. Actividades 1. Crucigrama(15 min) 2. Cuestionario
  40. 40. TAREA 1. Investigar sobre la Matriz de Riesgos. (10 min) 2. Qué es ISO 17799, ISO 15333, ISO 9000, BCP, ERM, ACL, WIN IDEA. (exposición 20 minutos) 3. Resumen del tema 2 (5 min)

×