2. Ing. J. Darwin Zubieta R. 2
Los continuos cambios tecnológicos, el
incremento de la demanda de las áreas de negocio
por servicios de TI y la constante apertura de las
empresas para el desarrollo de nuevas formas de
negocio se traducen en mayores riesgos
tecnológicos para muchas organizaciones. Es por
ello, que las funciones de Auditoría y
Cumplimiento de TI deben estar enfocadas en
tomar acciones y monitorear dichos riesgos.
AUDITORÍA DE SISTEMAS
(Contexto)
3. Ing. J. Darwin Zubieta R. 3
Etimológicamente proviene del latín
auditorius, proviniendo de aquí la palabra
auditor, que significa o se refiere a aquel que
tiene la virtud de oír.
No es solo una actividad mecánica.
También es una actividad donde el auditor
realizará un análisis crítico cuya finalidad es
mejorar la eficiencia y eficacia de la entidad o
sección que se está evaluando.
Auditoría
4. Ing. J. Darwin Zubieta R. 4
Auditoría – Definición (1)
“Examen metódico de una situación relativa
a un producto, proceso u organización, en
materia de calidad, realizado en cooperación
con los interesados para verificar la
concordancia de la realidad con lo
preestablecido y la adecuación al objetivo
buscado.”
5. Ing. J. Darwin Zubieta R. 5
Auditoría Interna: es realizada con
recursos humanos y materiales propios de
la empresa. La Auditoría es una actividad
que existe por decisión propia de la
empresa, es decir, que la empresa puede
decidir en el momento en que ésta labor
puede ser disuelta.
Auditoría – TIPOS
6. Ing. J. Darwin Zubieta R. 6
Auditoría Externa: el personal que debe
realizarla es un personal que no debe
guardar afinidad a la empresa que es
auditada, este tipo de Auditoría tiene más
consideración debido a que tiene una
mayor objetividad por existir un mayor
distanciamiento entre el personal auditor y
el personal auditado.
Auditoría – TIPOS
7. Ing. J. Darwin Zubieta R. 7
“Un proceso formal ejecutado por
especialistas del área de auditoría y de
informática; se orienta a la verificación y
aseguramiento para que las políticas y
procedimientos en la organización se
realicen de una manera oportuna y
eficiente”
¿Qué es la Auditoría Informática? (1)
http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica
8. Ing. J. Darwin Zubieta R. 8
“Actividades ejecutadas por profesionales del
área de informática y de auditoría
encaminadas a evaluar el grado de
cumplimiento de políticas, controles y
procedimientos correspondientes al uso de
los recursos de informática por el personal
de la empresa (usuarios, alta dirección, etc.) ”
¿Qué es la Auditoría Informática? (2)
9. Ing. J. Darwin Zubieta R. 9
“Conjunto de acciones que realiza el
personal especializado en las áreas de
auditoría y de informática para el
aseguramiento continuo de que los recursos
de informática operen en un ambiente de
seguridad y control eficientes, con la
finalidad de proporcionar a la alta dirección
la certeza de que la información se maneja
con los conceptos básicos de integridad,
totalidad, exactitud, confiabilidad, etc.”
¿Qué es la Auditoría Informática? (3)
10. Ing. J. Darwin Zubieta R. 10
Auditoría de la gestión: la contratación de bienes y servicios, documentación de los
programas, etc.
Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las
medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de
Protección de Datos.
Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de
los flujogramas.
Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y
calidad de los datos.
Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad,
integridad, confidencialidad, autenticación y no repudio.
Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando
ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También
está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y
protecciones del entorno.
Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los
sistemas de información.
Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de
autenticación en los sistemas de comunicación.
Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.
Tipos de Auditoria de Sistemas
11. Ing. J. Darwin Zubieta R. 11
1.Descoordinación y Desorganización
No coinciden los objetivos de la
informática de la empresa y la propia
empresa.
Los estándares de productividad se
desvían sensiblemente de los
promedios conseguidos
habitualmente.
¿Porque la necesidad de una Auditoría
de Sistemas?
12. Ing. J. Darwin Zubieta R. 12
2. Mala imagen e insatisfacción de los
usuarios.
No se atienden las peticiones de
cambios de los usuarios (ej. Software).
No se reparan las averías de hardware
ni se resuelven problemas en plazos
razonables.
¿Porque la necesidad de una Auditoría
de Sistemas?
13. Ing. J. Darwin Zubieta R. 13
3. Síntomas de debilidades económico-
financiero
Incremento desmesurado de costos
Necesidad de justificación de
inversiones informáticas.
Desviaciones presupuestarias
significativas.
¿Porque la necesidad de una Auditoría
de Sistemas?
14. Ing. J. Darwin Zubieta R. 14
4. Síntomas de inseguridad –
Evaluación del nivel de riesgos
Seguridad lógica
Seguridad física
Confidencialidad
¿Porque la necesidad de una Auditoría
de Sistemas?
15. Ing. J. Darwin Zubieta R. 15
1. Prestar colaboración a la Auditoría de
cuentas.
2. Auditoría de los propios sistemas
informáticos.
3. Prevención de fraude y obtención de la
prueba.
4. La Operatividad.
Objetivos de la Auditoría Informática
16. Ing. J. Darwin Zubieta R. 16
Prestar colaboración a la Auditoría de cuentas:
Se hace difícil un buen control de la actividad
económico-financiera de las instituciones
debido al alto grado de informatización de las
mismas, por lo que se necesita de la Auditoría
Informática para llevar a cabo el propósito.
Objetivo (1)
17. Ing. J. Darwin Zubieta R. 17
Auditoría de los propios sistemas informáticos:
En este punto, se debe resaltar no sólo el
aspecto del control informático en sí, sino
también el desarrollo de la seguridad,
economía, adecuación de la infraestructura
informática de la empresa, entre otros.
Objetivo (2)
18. Ing. J. Darwin Zubieta R. 18
Prevención de fraude y obtención de la prueba:
De esta manera, se persigue el fraude y se
puede obtener la prueba del mismo, trayendo
como consecuencia que la información que se
aprecie no haya sido manipulada de mala fe.
Objetivo (3)
19. Ing. J. Darwin Zubieta R. 19
La Operatividad:
La auditoria debe iniciar su actividad cuando los sistemas están
operativos. Este objetivo debe conseguirse tanto a nivel global como
parcial.
“La operatividad de los sistemas ha de constituir la principal
preocupación del auditor informático. Para conseguirla hay que acudir
a la realización de Controles Técnicos Generales de Operatividad y
Controles Técnicos Específicos de Operatividad”
Objetivo (4)