SlideShare una empresa de Scribd logo

03 objetivosplanprograma

Descargar como PPT, PDF
Miguel Angel Sandoval Calderon
Miguel Angel Sandoval Calderon

CLASE 3 - PARA MI GAFITA PRECIOSA..!!

Software
1 de 36
1 Auditoría de Tecnologías de la Información: Enfoque Gubernamental Ing. Jesús León Lamas lamas@contraloria.gob.pe
2
3 TEMARIO  1.  Marco Conceptual. Objetivos. La planificación de la auditoría.  Objetivos y Actividades de Auditoría.  2.  La Labor del auditor. Aspectos operativos y gerenciales. Marco  general de la auditoría en Tecnologías de la Información. Trabajo en  equipo. 3.  Enfoque sistémico; Auditoría departamental y/o gerencial. Criterios a  usar. Requerimientos mínimos y máximos; Diferencias. Software de  auditoría. 4. Planes Estratégicos (PE), Planes Estratégicos de Sistemas de  Información (PESI) y Planes Operativos (PO). Alineamiento entre  ellos. 5.  La investigación y recopilación de la información. Información  estructurada y no estructurada. La búsqueda de antecedentes.  Herramientas. 6.  Técnicas y herramientas a usar para el trabajo de campo.  Comunicación de hallazgos u observaciones. Papeles de trabajo. 7.  Auditoría al Hardware, Software y recurso humano. 8. Normas Técnicas de Control Gubernamental. Un enfoque para su uso  adecuado. 9.  El informe final. Estructura y desarrollo.
4 SISTEMA DE INFORMACIÓN (Andreu, Ricart y Valor, 1991): Conjunto integrado de procesos, principalmente formales, desarrollados en un entorno usuario-ordenador (recomendable a fin de aprovechar su potencial), que operan sobre un conjunto de datos estructurados (bdatos) de una organización. Recopilan, procesan y distribuyen selectivamente la información necesaria. para la operatividad habitual de la organización y las actividades propias de la dirección de la misma. LAS DECISIONES EN LA EMPRESA Y LOS SISTEMAS DE INFORMACIÓN
5 Características de un Sistema de Información:  PRECISIÓN:  Información sin errores.  OPORTUNIDAD:  Información cuando se necesita.  CAPACIDAD DE PROCESO:  Información completa.  CONCISIÓN:  Resúmenes.  RELEVANCIA:  Establecer niveles y prioridades.  DISPONIBILIDAD:  Evolución y flexibilidad del  sistema.  SEGURIDAD. LAS DECISIONES EN LA EMPRESA Y LOS SISTEMAS DE INFORMACIÓN
6 Elementos del Sistema de Información (Isidro de Pablo, 1989):  LA INFORMACIÓN, LOS USUARIOS Y LOS EQUIPOS (vehículos,  procesadores, difusores y almacenes). TIPOS DE INFORMACIÓN:  DIRECCIÓN GENERAL PLANIFICACIÓN ESTRATÉGICA  DIRECCIÓN FUNCIONAL CONTROL DE GESTIÓN  DIRECCIÓN OPERATIVA CONTROL OPERATIVO  EL SISTEMA DE INFORMACIÓN  Y EL RESTO DE SUBSISTEMAS  FUNCIONALES.  LA CADENA DE VALOR DE LA EMPRESA.  EL DESARROLLO DE LAS TI Y LA CONSECUCIÓN DE DISTINTOS  OBJETIVOS DIFERENCIAN DISTINTOS SISTEMAS DE  INFORMACIÓN. LAS DECISIONES EN LA EMPRESA Y LOS SISTEMAS DE INFORMACIÓN
7 LA INFORMACIÓN EN LA EMPRESA El Sistema de Información Organizacional Alta dirección Dirección Trabajadores del conocimiento Trabajadores de los datos Información estratégica Información táctica Información del conocimiento Determinación de objetivos Supervisión, coordinación y control Diseño del producto/servicio Administración de la información Producción Finanzas Marketing Personal Trabajadores MEDIOS -Hadware -Software -Telecomunicaciones CONOCIMIENTOS DE TI KNOW-HOW: TALENTO, HABILIDADES Y CREATIVIDAD CON LAS TI
8 SISTEMA DE INFORMACIÓN GERENCIAL:  TRATAN  DE  INTEGRAR  EN  UN  ÚNICO  SISTEMA  TODOS  LOS SUBSISTEMAS ANTERIORES.  TRATAN  DE  GENERAR  INFORMACIÓN  ÚTIL  PARA  LOS  DISTINTOS  NIVELES  DE  GESTIÓN  (FUNCIONAL  Y  JERÁRQUICO). LAS DECISIONES EN LA EMPRESA Y LOS SISTEMAS DE INFORMACIÓN
9 La palabra auditoría viene del latín “auditorius” y de esta proviene la palabra “auditor”, que tiene la virtud de oir y revisar cuentas. Auditoría de las Tecnologías de la Información Examen objetivo, crítico, sistemático, eminentemente posterior y selectivo de las políticas, normas, prácticas, procedimientos y procesos con el fin de emitir una opinión respecto a la eficiencia en la utilización de los recursos informáticos; la confiabilidad, consistencia, integridad y oportunidad de la información y la efectividad de los controles en los sistemas de información computarizados.
10 ¿Qué es la Auditoría de Tecnologías de la Información? 1) Verificación de controles. Evaluar su efectividad y presentar recomendaciones a la Gerencia. 2) Verificar y juzgar la información. 3) Evaluación de los procesos del Area de Sistemas (grado de eficiencia, efectividad y economía de los sistemas). 4) Proceso de recolección y evaluación de evidencia: a. Daños internos y/o externos. b. Salvaguardar activos de la Destrucción. c. Uso no autorizado de recursos (Información y equipos). d. Robo de información. e. Mantener integridad de la Información (Precisión de los datos).
11 ¿Qué es la Auditoría de Tecnologías de la Información? (Continuación) 1) Proceso de recolección y evaluación de evidencia (Continuación): a. Oportunidad de los datos. b. Confiabilidad de la información. c. Contribución de la función informática a las metas organizac. d. Uso de recursos eficientemente en el procesamiento de la información. • Examen de carácter objetivo (independiente), crítico (evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados.
12 Objetivos de la Auditoría de las Tecnologías de la Información El propósito del trabajo de auditoría  está enmarcado en uno o más de los siguientes puntos: • Cumplimiento de políticas, normas y  procedimientos de orden gubernamental e institucional (adquisición, contratación e instalación de servicios para el desarrollo de la función informática). 1,2,6 y 7 • Comprobar el adecuado uso y resguardo de los  recursos informáticos de la entidad.   8 • Verificar que se efectúa el mantenimiento preventivo y  correctivo de los recursos informáticos, para obtener la confiabilidad e integridad de los sistemas. • Grado de confiabilidad y privacidad del ambiente informático.
13 Objetivos de la Auditoría de las Tecnologías de la Información (Continuación) • Garantizar la seguridad (personas, datos, programas y los equipos). • Verificar controles de seguridad física y ambiental. • Evaluar controles establecidos para administrar la infraestructura tecnológica (servidores de datos, aplicaciones, comunicaciones, terminales, impresoras, etc.). 3, 4, 5 • Sistemas de información correspondan a los objetivos y requerimientos de la entidad. 3
14 Motivos para efectuar una Auditoría de Tecnologías de la Información Entre los principales justificativos o motivos de una auditoría encontramos: 1) Aumento del presupuesto del Departamento de procesamiento de datos. 2) Desconocimiento de la situación informática de la empresa. 3) Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal , equipos e información. 4) Descubrimientos de fraudes efectuados con el uso del computador. 5) Falta de una planificación informática. Falta de visión. 6) Organización que no funciona correctamente, debido a falta de políticas, objetivos, normas, metodología, estándares, delegación de autoridad, asignación de tareas y adecuada administración del recurso humano. 7) Descontento general de los usuarios, motivado generalmente, por incumplimiento de plazos y mala calidad de resultados. 8) Falta de documentación o documentación incompleta de sistemas.
15 Alcance de la Auditoría 1.- Evaluar los controles de entrada, procesamiento y salida a) Compatibilidad, exactitud, rangos específicos, verificación de seguridad para el acceso a terminales, programas, archivos, datos e información confidencial. b) Totalidad de los datos sean procesados. c) Los datos procesados estén debidamente autorizados. d) Adecuada distribución de las salidas otorgadas por el sistema. 2.- Definir los controles que deben implantarse Garantizar la integridad y confidencialidad de la información: a) Controles sobre el acceso del usuario. b) Controles de claves de acceso. c) Controles de datos ingresados. d) Controles de transacciones mal efectuadas, entre otros. 3.- Establecer Recomendaciones a la Gerencia. Informe (propuesta de mejoras). ¿Eso es todo?
16 Entre los problemas más comunes en los aplicativos tenemos: 1) Falta de estándares en el desarrollo, análisis y la programación. 2) Inadecuadas especificaciones técnicas. 3) Diseño deficiente. 4) Problemas en la conversión e implementación. 5) Control débil en las fases de elaboración del sistema sobre el sistema en sí. 6) Inexperiencia en el análisis y la programación. 7) Nueva tecnología no usada o usada incorrectamente. Verificaciones necesarias para que los sistemas y programas sean probados exhaustivamente para asegurar su consistencia con las especificaciones originales, no exista descontento de los usuarios y se realicen las transacciones correctamente.
17 Una empresa puede solicitar el análisis de los siguientes puntos: A. Mejorar las seguridades lógicas del Sistema i. Establecimiento de seguridades lógicas a los sistemas. ii. Garantizar el acceso al computador sólo de personas autorizadas al mismo. iii. Seguridad de los sistemas a fin de contar con información relevante en el momento preciso . B. Asegurar una mayor confidencialidad de la información i. Información con caracteres reservados y exclusivos a los funcionarios autorizados. ii. Acceso de datos e información sólo a personal autorizado. iii. Transacciones realizadas por un usuario queden registradas. C. Mejorar el funcionamiento del Sistema i. Los programas deben ser probados con datos de prueba. ii. Los sistemas deben ser desarrollados dentro de un proceso adecuadamente planificado. iii. Entrenamiento y elaboración de manuales respectivos, que garanticen el buen uso del sistema.
18 D. Incrementar la satisfacción de los usuarios i. Falta de entendimiento y coordinación de necesidades y el divorcio marcado de los elementos que intervienen, entre los que brindan y reciben el servicio. ii. Resultados de un Sistema no están acorde con las necesidades del usuario. iii. El usuario prefiere no usar el sistema debido a los continuos inconvenientes que éste le genera. iv. Es importante tener en cuenta que los sistemas razonablemente concebidos, correctamente probados y eficazmente controlados pueden desgastarse y convertirse en otro sistema o programa remendado, irracional, ineficiente e incontrolado que originará malestar en los usuarios finales. v. Es importante analizar los sistemas, encontrar las falencias y mejorarlas para incrementar la satisfacción de los sistemas.
19 Perfil del Auditor de Tecnologías de la Información Los cambios permanentes en la tecnología informática obligan a que el auditor de sistemas se mantenga al día, capacitándose en aspectos tales como bases de datos, sistemas abiertos, sistemas distribuidos y comunicaciones.   Además de los conocimientos tecnológicos, debe tener una despierta curiosidad intelectual, una mentalidad investigativa y conservar un alto espíritu de imparcialidad.
20 Áreas de Interés del Auditor de Tecnologías de la Información Si se tiene en cuenta que el objetivo básico que se busca con la adquisición y utilización del computador es el de entregar información confiable, útil y oportuna, el ámbito del auditor debe abarcar áreas donde hace presencia el computador y aquéllas que puedan afectar el cumplimiento de dicho objetivo, tales como:   • La Gerencia de Sistemas. • La organización y el personal. • El área del computador. • Las aplicaciones. • Los estándares de documentación y desarrollo. • La operación del computador. • La gerencia financiera. • Los planes de desarrollo informático. • Los controles y la seguridad en general. • Los archivos maestros y de transacciones. • La Red de Comunicaciones y de Datos. • La Internet / Intranet. • Los microcomputadores. • La Transferencia Electrónica de Documentos. • Otros.
21 ADMINISTRACIÓN DE LA FUNCIÓN TECNICA: Una propuesta   La Oficina de Sistema, efectúa la Coordinación y Supervisión Técnica de los profesionales asignados para el desarrollo de esta actividad, así como también, la revisión del informe final.
22 El Proceso de la Auditoría de Tecnologías de la Información   Toda acción de auditoría sigue ciertas fases específicas mediante las cuales se desarrolla el trabajo. Se deben seguir básicamente las siguientes fases:
23 Componentes de un plan anual a) Resumen del plan a largo plazo. b) Objetivos del programa para el año entrante. c) Detalles de las actividades relacionadas con estos objetivos. d) Asignación de recursos. e) Plan de seguimiento y evaluación del programa. f) Presupuesto anual (incluyendo fuentes de financiamiento).
24 ¿Cómo hacer para preparar un plan anual de trabajo? 1. Decidir quién participará en la preparación del nuevo plan. 2. Organizar reuniones de planeación al menos tres meses antes de que finalice el plan actual. 3. Revisar el plan de trabajo actual con el grupo de planeación. 4. Discutir con el equipo si las actividades actuales necesitan modificarse. 5. Si fuera necesario, proponer un ejercicio de "lluvia de ideas" para crear nuevas actividades. 6. Describir cada actividad en detalle. 7. Determinar quién será el responsable de llevar a cabo cada actividad. 8. Decidir qué recursos se necesitarán para realizar las actividades propuestas y cómo se obtendrán. 9. Revisar el presupuesto para asegurar que estén disponibles los fondos necesarios para cada una de las actividades. Fuente: http://erc.msh.org/fpmh_spanish/chp2/p2.html
25 Desarrollar y organizar las actividades Asegurarse de contestar a las siguientes preguntas: Cuál - ¿ Cuál es la actividad? Quién - ¿Quién es (quiénes son) responsable(s) de llevar a cabo la actividad? Cómo - ¿Qué recursos son necesarios? Cuándo - ¿En qué fecha se inicia y termina la actividad? Dónde - ¿Dónde se llevará a cabo la actividad? Cuando se desarrollan las actividades para el programa u organización a) Fundamentar las actividades en los objetivos establecidos; b) Establecer claramente la actividad; c) Indicar cuándo se llevará a cabo la actividad; d) Asignar responsabilidades al personal apropiado; e) Asegurarse de que los recursos necesarios estén disponibles. Fuente: http://erc.msh.org/fpmh_spanish/chp2/p2.html
26 Características de un proyecto 1.- Tener un principio y un fin. 2.- Tener un calendario definido de ejecución. 3.- Plantearse de una sola vez. 4.- Necesitar la concurriencia de varias personas en función de unas necesidades especificas. 6.- Contar con un conjunto limitado de recursos. Reglas para la dirección de un proyecto (Trabajo en equipo) 1.- Establecer un Gran Designio (Fijar una meta para nuestros colaboradores y para nosotros; Crear un consenso y una aspiración común) 2.- Determinar Objetivos del proyecto. 3.- Establecer los puntos de control, las actividades, la Relaciones y las estimaciones de tiempo. Fuente: http://monografias.com
27 Reglas para la dirección de un proyecto (Trabajo en equipo) 4.- Dibujar graficamente el esquema del proyecto. 5.- Dirigir a las personas individualmente y como equipo de proyecto. 6.- Reforzar el sentido de responsabilidad y moral del grupo del proyecto. 7.- Mantener informados a todos los elementos efectuados. 8.- Vitalizar a los componentes del grupo mediante la construcción de un consenso. 9.- Encausar el poder propio y el de los demás elementos del equipo. 10.- Favorecer la asunción de riesgo y la creatividad.
28 La Ejecución de la Auditoría
29 Diferencia entre Controles y Seguridades Se entiende por controles al conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y principios admitidos. Al hablar de seguridades nos referimos a todas las actividades realizadas con el fin de mantener la reserva de la información: en el manipuleo, proceso, archivo y uso de la información por parte del personal que opera y administra el sistema.
30 Controles de Carácter General Controles de Adquisición, Organización, Desarrollo, Administración física y lógica, Documentación y de Seguridad. Controles de Carácter Específico Controles de Aplicaciones (Entrada, Procesamiento y Salida), Bases de Datos, de Procesamiento Distribuido y de Microcomputadoras.
31 Entonces....se evalúa a través de Controles de Carácter General y/o Controles de Carácter Específico. Recomendación: Se debe ir de lo general a lo particular ¿ Cómo ir de lo general a lo particular ? El auditor debe identificar, verificar y evaluar los métodos de control en el proceso de obtención de la evidencia adecuada, para fundamentar las conclusiones de auditoría a través de pruebas de cumplimiento y/o sustantivas.  
32 Pruebas de Cumplimiento   Se usan para determinar si un procedimiento de control prescrito está funcionando efectivamente y consisten en verificar: a) La aplicación de leyes o reglamentos y de los procedimientos establecidos en los manuales que éstos se encuentren actualizados. b) El conocimiento por parte del personal, de los manuales y de las políticas del ambiente informático. c) La existencia de informes o memorandos preparados por el Departamento de Informática. d) Si han sido implantadas las recomendaciones emitidas por auditorías anteriores.
33 Pruebas Sustantivas Se diseñan para proveer una seguridad razonable sobre la validez de la información producida. El desarrollo de las pruebas es logrado mediante la aplicación de una o varias técnicas de auditoría, ya sea simultánea o secuencialmente, tales como: a) Analizar registros. b) Hacer operaciones. c) Comparar archivos. d) Estratificar archivos. e) Seleccionar una muestra aleatoria. f) Resumir información. g) Generar reportes. h) Construir archivos de prueba. i) Extraer información de un archivo. j) Realizar análisis estadísticos. k) Simular parte del sistema o el sistema completo.
34 Técnicas de Auditoría Asistidas por Computador, TAAC's (o CAAT´s) Técnicas de auditoría asistidas por computador (ó TAAC's): se orientan a: •Datos; •Aplicaciones; •Equipos y programas. Permiten seleccionar y procesar la información necesaria para fines específicos: •Métodos de muestreo estadístico; •Aumentar el alcance de las pruebas y •Verificar la integridad de los datos en la población auditada.
35 Herramientas automatizadas de apoyo a la auditoría (CAAT ´s) El propósito de estos herramientas es auxiliar en la consulta y los cálculos básicos sobre los archivos magnéticos que anteriormente se realizaban con registros en forma manual (Ej. paquete IDEA - Interactive Data Extraction Analysis). Principales funciones: 1) Lectura de archivos. 2) Validación de campos. 3) Pruebas parciales. 4) Lectura salteada de los registros. 5) Identificación de registros duplicados. 6) Chequeo de ausencia de registros en una secuencia. 7) Ordenamiento de intercalación de los datos. 8) Obtención de totales y sub-totales. 9) Ejecución de cálculos. 10) Búsqueda de tablas. 11) Clasificación por períodos de vencimiento. 12) Selección de registros. 13) Generación de archivos de salida. 14) Comparación de archivos.
36 Seguimiento Esta fase cierra el ciclo del proceso de auditoría, en la cual se efectuará el análisis y evaluación del acatamiento de las entidades del estado a las recomendaciones formuladas por la Contraloría General de la República. Para su ejecución se debe cumplir todo el ciclo de auditoría.

Recomendados

Auditoria danper
Auditoria danperAuditoria danper
Auditoria danperManuel Tapia Cruz
 
Unidad II
Unidad IIUnidad II
Unidad IIjoseaunefa
 
Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoriacesar209935
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS
 
Proyecto auditoria
Proyecto auditoriaProyecto auditoria
Proyecto auditoriaCARLOS martin
 
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemasUNEG-AS
 
Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control InternoRoberto Porozo
 

Recomendados

Auditoria danper
Auditoria danperAuditoria danper
Auditoria danperManuel Tapia Cruz
 
Unidad II
Unidad IIUnidad II
Unidad IIjoseaunefa
 
Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoriacesar209935
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS
 
Proyecto auditoria
Proyecto auditoriaProyecto auditoria
Proyecto auditoriaCARLOS martin
 
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemasUNEG-AS
 
Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control InternoRoberto Porozo
 
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS
 
Introduccion a la auditoria de sistemas de informacion complemento
Introduccion a la auditoria de sistemas de informacion complementoIntroduccion a la auditoria de sistemas de informacion complemento
Introduccion a la auditoria de sistemas de informacion complementoingenierocj
 
Auditoria de la seguridad logica
Auditoria de la seguridad logicaAuditoria de la seguridad logica
Auditoria de la seguridad logica1416nb
 
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...UNEG-AS
 
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informaticaDavid Thomas
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaJaider Quintero
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Auditoria del desarrollo de sistemas de información en el gobierno regional c...
Auditoria del desarrollo de sistemas de información en el gobierno regional c...Auditoria del desarrollo de sistemas de información en el gobierno regional c...
Auditoria del desarrollo de sistemas de información en el gobierno regional c...Arturo GR
 
Plan de parcticas
Plan de parcticasPlan de parcticas
Plan de parcticasToli Rozas Cordova
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informáticaUbaldin Gómez Carderón
 
Control informatico
Control informaticoControl informatico
Control informaticoVita1985
 
Control interno informatico (1)
Control interno informatico (1)Control interno informatico (1)
Control interno informatico (1)alvarezjeffer
 
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemasUNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemasUNEG-AS
 
Dictamen
DictamenDictamen
DictamenBlanca Palma
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosoamz
 
Auditoria De Redes
Auditoria De RedesAuditoria De Redes
Auditoria De RedesCristian Paul
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasMilver Illaconza Ccaulla
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecucióng_quero
 
Auditoria en aplicaciones web
Auditoria en aplicaciones webAuditoria en aplicaciones web
Auditoria en aplicaciones webJuan Carlos Pérez Pardo
 
01 auditoriaTI -CLASE 1
01 auditoriaTI -CLASE 101 auditoriaTI -CLASE 1
01 auditoriaTI -CLASE 1Miguel Angel Sandoval Calderon
 
Plantilla unidad II
Plantilla unidad IIPlantilla unidad II
Plantilla unidad IIAnnie Mrtx
 

Más contenido relacionado

La actualidad más candente

UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS
 
Introduccion a la auditoria de sistemas de informacion complemento
Introduccion a la auditoria de sistemas de informacion complementoIntroduccion a la auditoria de sistemas de informacion complemento
Introduccion a la auditoria de sistemas de informacion complementoingenierocj
 
Auditoria de la seguridad logica
Auditoria de la seguridad logicaAuditoria de la seguridad logica
Auditoria de la seguridad logica1416nb
 
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...UNEG-AS
 
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informaticaDavid Thomas
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaJaider Quintero
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Auditoria del desarrollo de sistemas de información en el gobierno regional c...
Auditoria del desarrollo de sistemas de información en el gobierno regional c...Auditoria del desarrollo de sistemas de información en el gobierno regional c...
Auditoria del desarrollo de sistemas de información en el gobierno regional c...Arturo GR
 
Control informatico
Control informaticoControl informatico
Control informaticoVita1985
 
Control interno informatico (1)
Control interno informatico (1)Control interno informatico (1)
Control interno informatico (1)alvarezjeffer
 
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemasUNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemasUNEG-AS
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosoamz
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecucióng_quero
 

La actualidad más candente (20)

UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
 
Introduccion a la auditoria de sistemas de informacion complemento
Introduccion a la auditoria de sistemas de informacion complementoIntroduccion a la auditoria de sistemas de informacion complemento
Introduccion a la auditoria de sistemas de informacion complemento
 
Auditoria de la seguridad logica
Auditoria de la seguridad logicaAuditoria de la seguridad logica
Auditoria de la seguridad logica
 
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
 
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informatica
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informática
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informático
 
Auditoria del desarrollo de sistemas de información en el gobierno regional c...
Auditoria del desarrollo de sistemas de información en el gobierno regional c...Auditoria del desarrollo de sistemas de información en el gobierno regional c...
Auditoria del desarrollo de sistemas de información en el gobierno regional c...
 
Plan de parcticas
Plan de parcticasPlan de parcticas
Plan de parcticas
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
 
Control informatico
Control informaticoControl informatico
Control informatico
 
Control interno informatico (1)
Control interno informatico (1)Control interno informatico (1)
Control interno informatico (1)
 
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemasUNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
 
Dictamen
DictamenDictamen
Dictamen
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datos
 
Auditoria De Redes
Auditoria De RedesAuditoria De Redes
Auditoria De Redes
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecución
 
Auditoria en aplicaciones web
Auditoria en aplicaciones webAuditoria en aplicaciones web
Auditoria en aplicaciones web
 

Destacado

Plantilla unidad II
Plantilla unidad IIPlantilla unidad II
Plantilla unidad IIAnnie Mrtx
 
Auditoria De La Gestion De Las Tic
Auditoria De La Gestion De Las TicAuditoria De La Gestion De Las Tic
Auditoria De La Gestion De Las Ticdcordova923
 
El plan global y el programa de auditoria
El plan global y el programa de auditoriaEl plan global y el programa de auditoria
El plan global y el programa de auditoriaBalbino Rodriguez
 
PLAN DE AUDITORIA
PLAN DE AUDITORIAPLAN DE AUDITORIA
PLAN DE AUDITORIAyazari19
 

Destacado (8)

01 auditoriaTI -CLASE 1
01 auditoriaTI -CLASE 101 auditoriaTI -CLASE 1
01 auditoriaTI -CLASE 1
 
Plantilla unidad II
Plantilla unidad IIPlantilla unidad II
Plantilla unidad II
 
Auditoria De La Gestion De Las Tic
Auditoria De La Gestion De Las TicAuditoria De La Gestion De Las Tic
Auditoria De La Gestion De Las Tic
 
Guia de auditoria_de_ti
Guia de auditoria_de_tiGuia de auditoria_de_ti
Guia de auditoria_de_ti
 
El plan global y el programa de auditoria
El plan global y el programa de auditoriaEl plan global y el programa de auditoria
El plan global y el programa de auditoria
 
Plan de auditoria sodimac
Plan de auditoria sodimac Plan de auditoria sodimac
Plan de auditoria sodimac
 
Plan de Auditoria
Plan de AuditoriaPlan de Auditoria
Plan de Auditoria
 
PLAN DE AUDITORIA
PLAN DE AUDITORIAPLAN DE AUDITORIA
PLAN DE AUDITORIA
 

Similar a 03 objetivosplanprograma

Controlinterno relacionadoconla informacion
Controlinterno relacionadoconla informacionControlinterno relacionadoconla informacion
Controlinterno relacionadoconla informacionChristian L
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticosSamuel_Sullon
 
Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemascarloscv
 
Auditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptxAuditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptxRamón Alexander Paula Reynoso
 
Auditoria de Sistemas
Auditoria de Sistemas Auditoria de Sistemas
Auditoria de Sistemas Michelle Perez
 
El Auditor y la Organización.pdf
El Auditor y la Organización.pdfEl Auditor y la Organización.pdf
El Auditor y la Organización.pdfPabloFloresJara1
 
Mag parte viii auditoria informatica (1)
Mag parte viii auditoria informatica (1)Mag parte viii auditoria informatica (1)
Mag parte viii auditoria informatica (1)joselynf
 
Informes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesInformes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesLiliana Nieto
 
Módulo auditoria de sistemas
Módulo auditoria de sistemasMódulo auditoria de sistemas
Módulo auditoria de sistemasoskr12381
 
Introducción a la auditoria de sistemas
Introducción a la auditoria de sistemasIntroducción a la auditoria de sistemas
Introducción a la auditoria de sistemasRosangelUricare
 
calidad de la auditorias de sistemas de información
calidad de la auditorias de sistemas de información calidad de la auditorias de sistemas de información
calidad de la auditorias de sistemas de información danielmarquez77
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasBella Loor
 

Similar a 03 objetivosplanprograma (20)

Controlinterno relacionadoconla informacion
Controlinterno relacionadoconla informacionControlinterno relacionadoconla informacion
Controlinterno relacionadoconla informacion
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticos
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemas
 
Auditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptxAuditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptx
 
Auditoria de Sistemas
Auditoria de Sistemas Auditoria de Sistemas
Auditoria de Sistemas
 
El Auditor y la Organización.pdf
El Auditor y la Organización.pdfEl Auditor y la Organización.pdf
El Auditor y la Organización.pdf
 
Mag parte viii auditoria informatica
Mag parte viii auditoria informaticaMag parte viii auditoria informatica
Mag parte viii auditoria informatica
 
Mag parte viii auditoria informatica (1)
Mag parte viii auditoria informatica (1)Mag parte viii auditoria informatica (1)
Mag parte viii auditoria informatica (1)
 
Clase conceptos introductorios
Clase conceptos introductoriosClase conceptos introductorios
Clase conceptos introductorios
 
Informes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesInformes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionales
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Balotario de auditoria
Balotario de auditoriaBalotario de auditoria
Balotario de auditoria
 
Módulo auditoria de sistemas
Módulo auditoria de sistemasMódulo auditoria de sistemas
Módulo auditoria de sistemas
 
Introducción a la auditoria de sistemas
Introducción a la auditoria de sistemasIntroducción a la auditoria de sistemas
Introducción a la auditoria de sistemas
 
calidad de la auditorias de sistemas de información
calidad de la auditorias de sistemas de información calidad de la auditorias de sistemas de información
calidad de la auditorias de sistemas de información
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 

Más de Miguel Angel Sandoval Calderon

Más de Miguel Angel Sandoval Calderon (20)

Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
657.453 c784d-capitulo iv
657.453 c784d-capitulo iv657.453 c784d-capitulo iv
657.453 c784d-capitulo iv
 
Cobit presentation package_sp
Cobit presentation package_spCobit presentation package_sp
Cobit presentation package_sp
 
Tema3 procesos
Tema3 procesos Tema3 procesos
Tema3 procesos
 
TRABAJO DE FIN DE CURSO
TRABAJO DE FIN DE CURSO TRABAJO DE FIN DE CURSO
TRABAJO DE FIN DE CURSO
 
05 ds5
05 ds505 ds5
05 ds5
 
05 cci seguridadfisicacentrodatos
05 cci seguridadfisicacentrodatos05 cci seguridadfisicacentrodatos
05 cci seguridadfisicacentrodatos
 
05 ai seguridad2
05 ai seguridad205 ai seguridad2
05 ai seguridad2
 
Ejercicio grupal04imp
Ejercicio grupal04impEjercicio grupal04imp
Ejercicio grupal04imp
 
04 ai seguridad
04 ai seguridad04 ai seguridad
04 ai seguridad
 
Proforma2010
Proforma2010Proforma2010
Proforma2010
 
Ejercicio grupal03imp
Ejercicio grupal03impEjercicio grupal03imp
Ejercicio grupal03imp
 
Ejercicio grupal03imp
Ejercicio grupal03impEjercicio grupal03imp
Ejercicio grupal03imp
 
Ejercicio grupal02imp
Ejercicio grupal02impEjercicio grupal02imp
Ejercicio grupal02imp
 
02 controliterno
02 controliterno02 controliterno
02 controliterno
 
CLASE 2 - 02 controlinterno
CLASE 2 - 02 controlinternoCLASE 2 - 02 controlinterno
CLASE 2 - 02 controlinterno
 
Silabo auditoria informatica ( analisis v ciclo)
Silabo auditoria informatica ( analisis v ciclo)Silabo auditoria informatica ( analisis v ciclo)
Silabo auditoria informatica ( analisis v ciclo)
 
Ejercicio grupal01imp
Ejercicio grupal01impEjercicio grupal01imp
Ejercicio grupal01imp
 
TERCERA PATE - Resumen ingenieria-del-software
TERCERA PATE - Resumen ingenieria-del-softwareTERCERA PATE - Resumen ingenieria-del-software
TERCERA PATE - Resumen ingenieria-del-software
 
SEGUNDA PARTE - Gestion de la calidad del software
SEGUNDA PARTE - Gestion de la calidad del softwareSEGUNDA PARTE - Gestion de la calidad del software
SEGUNDA PARTE - Gestion de la calidad del software
 

03 objetivosplanprograma

  • 1. 1 Auditoría de Tecnologías de la Información: Enfoque Gubernamental Ing. Jesús León Lamas lamas@contraloria.gob.pe
  • 2. 2
  • 3. 3 TEMARIO  1.  Marco Conceptual. Objetivos. La planificación de la auditoría.  Objetivos y Actividades de Auditoría.  2.  La Labor del auditor. Aspectos operativos y gerenciales. Marco  general de la auditoría en Tecnologías de la Información. Trabajo en  equipo. 3.  Enfoque sistémico; Auditoría departamental y/o gerencial. Criterios a  usar. Requerimientos mínimos y máximos; Diferencias. Software de  auditoría. 4. Planes Estratégicos (PE), Planes Estratégicos de Sistemas de  Información (PESI) y Planes Operativos (PO). Alineamiento entre  ellos. 5.  La investigación y recopilación de la información. Información  estructurada y no estructurada. La búsqueda de antecedentes.  Herramientas. 6.  Técnicas y herramientas a usar para el trabajo de campo.  Comunicación de hallazgos u observaciones. Papeles de trabajo. 7.  Auditoría al Hardware, Software y recurso humano. 8. Normas Técnicas de Control Gubernamental. Un enfoque para su uso  adecuado. 9.  El informe final. Estructura y desarrollo.
  • 4. 4 SISTEMA DE INFORMACIÓN (Andreu, Ricart y Valor, 1991): Conjunto integrado de procesos, principalmente formales, desarrollados en un entorno usuario-ordenador (recomendable a fin de aprovechar su potencial), que operan sobre un conjunto de datos estructurados (bdatos) de una organización. Recopilan, procesan y distribuyen selectivamente la información necesaria. para la operatividad habitual de la organización y las actividades propias de la dirección de la misma. LAS DECISIONES EN LA EMPRESA Y LOS SISTEMAS DE INFORMACIÓN
  • 5. 5 Características de un Sistema de Información:  PRECISIÓN:  Información sin errores.  OPORTUNIDAD:  Información cuando se necesita.  CAPACIDAD DE PROCESO:  Información completa.  CONCISIÓN:  Resúmenes.  RELEVANCIA:  Establecer niveles y prioridades.  DISPONIBILIDAD:  Evolución y flexibilidad del  sistema.  SEGURIDAD. LAS DECISIONES EN LA EMPRESA Y LOS SISTEMAS DE INFORMACIÓN
  • 6. 6 Elementos del Sistema de Información (Isidro de Pablo, 1989):  LA INFORMACIÓN, LOS USUARIOS Y LOS EQUIPOS (vehículos,  procesadores, difusores y almacenes). TIPOS DE INFORMACIÓN:  DIRECCIÓN GENERAL PLANIFICACIÓN ESTRATÉGICA  DIRECCIÓN FUNCIONAL CONTROL DE GESTIÓN  DIRECCIÓN OPERATIVA CONTROL OPERATIVO  EL SISTEMA DE INFORMACIÓN  Y EL RESTO DE SUBSISTEMAS  FUNCIONALES.  LA CADENA DE VALOR DE LA EMPRESA.  EL DESARROLLO DE LAS TI Y LA CONSECUCIÓN DE DISTINTOS  OBJETIVOS DIFERENCIAN DISTINTOS SISTEMAS DE  INFORMACIÓN. LAS DECISIONES EN LA EMPRESA Y LOS SISTEMAS DE INFORMACIÓN
  • 7. 7 LA INFORMACIÓN EN LA EMPRESA El Sistema de Información Organizacional Alta dirección Dirección Trabajadores del conocimiento Trabajadores de los datos Información estratégica Información táctica Información del conocimiento Determinación de objetivos Supervisión, coordinación y control Diseño del producto/servicio Administración de la información Producción Finanzas Marketing Personal Trabajadores MEDIOS -Hadware -Software -Telecomunicaciones CONOCIMIENTOS DE TI KNOW-HOW: TALENTO, HABILIDADES Y CREATIVIDAD CON LAS TI
  • 8. 8 SISTEMA DE INFORMACIÓN GERENCIAL:  TRATAN  DE  INTEGRAR  EN  UN  ÚNICO  SISTEMA  TODOS  LOS SUBSISTEMAS ANTERIORES.  TRATAN  DE  GENERAR  INFORMACIÓN  ÚTIL  PARA  LOS  DISTINTOS  NIVELES  DE  GESTIÓN  (FUNCIONAL  Y  JERÁRQUICO). LAS DECISIONES EN LA EMPRESA Y LOS SISTEMAS DE INFORMACIÓN
  • 9. 9 La palabra auditoría viene del latín “auditorius” y de esta proviene la palabra “auditor”, que tiene la virtud de oir y revisar cuentas. Auditoría de las Tecnologías de la Información Examen objetivo, crítico, sistemático, eminentemente posterior y selectivo de las políticas, normas, prácticas, procedimientos y procesos con el fin de emitir una opinión respecto a la eficiencia en la utilización de los recursos informáticos; la confiabilidad, consistencia, integridad y oportunidad de la información y la efectividad de los controles en los sistemas de información computarizados.
  • 10. 10 ¿Qué es la Auditoría de Tecnologías de la Información? 1) Verificación de controles. Evaluar su efectividad y presentar recomendaciones a la Gerencia. 2) Verificar y juzgar la información. 3) Evaluación de los procesos del Area de Sistemas (grado de eficiencia, efectividad y economía de los sistemas). 4) Proceso de recolección y evaluación de evidencia: a. Daños internos y/o externos. b. Salvaguardar activos de la Destrucción. c. Uso no autorizado de recursos (Información y equipos). d. Robo de información. e. Mantener integridad de la Información (Precisión de los datos).
  • 11. 11 ¿Qué es la Auditoría de Tecnologías de la Información? (Continuación) 1) Proceso de recolección y evaluación de evidencia (Continuación): a. Oportunidad de los datos. b. Confiabilidad de la información. c. Contribución de la función informática a las metas organizac. d. Uso de recursos eficientemente en el procesamiento de la información. • Examen de carácter objetivo (independiente), crítico (evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados.
  • 12. 12 Objetivos de la Auditoría de las Tecnologías de la Información El propósito del trabajo de auditoría  está enmarcado en uno o más de los siguientes puntos: • Cumplimiento de políticas, normas y  procedimientos de orden gubernamental e institucional (adquisición, contratación e instalación de servicios para el desarrollo de la función informática). 1,2,6 y 7 • Comprobar el adecuado uso y resguardo de los  recursos informáticos de la entidad.   8 • Verificar que se efectúa el mantenimiento preventivo y  correctivo de los recursos informáticos, para obtener la confiabilidad e integridad de los sistemas. • Grado de confiabilidad y privacidad del ambiente informático.
  • 13. 13 Objetivos de la Auditoría de las Tecnologías de la Información (Continuación) • Garantizar la seguridad (personas, datos, programas y los equipos). • Verificar controles de seguridad física y ambiental. • Evaluar controles establecidos para administrar la infraestructura tecnológica (servidores de datos, aplicaciones, comunicaciones, terminales, impresoras, etc.). 3, 4, 5 • Sistemas de información correspondan a los objetivos y requerimientos de la entidad. 3
  • 14. 14 Motivos para efectuar una Auditoría de Tecnologías de la Información Entre los principales justificativos o motivos de una auditoría encontramos: 1) Aumento del presupuesto del Departamento de procesamiento de datos. 2) Desconocimiento de la situación informática de la empresa. 3) Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal , equipos e información. 4) Descubrimientos de fraudes efectuados con el uso del computador. 5) Falta de una planificación informática. Falta de visión. 6) Organización que no funciona correctamente, debido a falta de políticas, objetivos, normas, metodología, estándares, delegación de autoridad, asignación de tareas y adecuada administración del recurso humano. 7) Descontento general de los usuarios, motivado generalmente, por incumplimiento de plazos y mala calidad de resultados. 8) Falta de documentación o documentación incompleta de sistemas.
  • 15. 15 Alcance de la Auditoría 1.- Evaluar los controles de entrada, procesamiento y salida a) Compatibilidad, exactitud, rangos específicos, verificación de seguridad para el acceso a terminales, programas, archivos, datos e información confidencial. b) Totalidad de los datos sean procesados. c) Los datos procesados estén debidamente autorizados. d) Adecuada distribución de las salidas otorgadas por el sistema. 2.- Definir los controles que deben implantarse Garantizar la integridad y confidencialidad de la información: a) Controles sobre el acceso del usuario. b) Controles de claves de acceso. c) Controles de datos ingresados. d) Controles de transacciones mal efectuadas, entre otros. 3.- Establecer Recomendaciones a la Gerencia. Informe (propuesta de mejoras). ¿Eso es todo?
  • 16. 16 Entre los problemas más comunes en los aplicativos tenemos: 1) Falta de estándares en el desarrollo, análisis y la programación. 2) Inadecuadas especificaciones técnicas. 3) Diseño deficiente. 4) Problemas en la conversión e implementación. 5) Control débil en las fases de elaboración del sistema sobre el sistema en sí. 6) Inexperiencia en el análisis y la programación. 7) Nueva tecnología no usada o usada incorrectamente. Verificaciones necesarias para que los sistemas y programas sean probados exhaustivamente para asegurar su consistencia con las especificaciones originales, no exista descontento de los usuarios y se realicen las transacciones correctamente.
  • 17. 17 Una empresa puede solicitar el análisis de los siguientes puntos: A. Mejorar las seguridades lógicas del Sistema i. Establecimiento de seguridades lógicas a los sistemas. ii. Garantizar el acceso al computador sólo de personas autorizadas al mismo. iii. Seguridad de los sistemas a fin de contar con información relevante en el momento preciso . B. Asegurar una mayor confidencialidad de la información i. Información con caracteres reservados y exclusivos a los funcionarios autorizados. ii. Acceso de datos e información sólo a personal autorizado. iii. Transacciones realizadas por un usuario queden registradas. C. Mejorar el funcionamiento del Sistema i. Los programas deben ser probados con datos de prueba. ii. Los sistemas deben ser desarrollados dentro de un proceso adecuadamente planificado. iii. Entrenamiento y elaboración de manuales respectivos, que garanticen el buen uso del sistema.
  • 18. 18 D. Incrementar la satisfacción de los usuarios i. Falta de entendimiento y coordinación de necesidades y el divorcio marcado de los elementos que intervienen, entre los que brindan y reciben el servicio. ii. Resultados de un Sistema no están acorde con las necesidades del usuario. iii. El usuario prefiere no usar el sistema debido a los continuos inconvenientes que éste le genera. iv. Es importante tener en cuenta que los sistemas razonablemente concebidos, correctamente probados y eficazmente controlados pueden desgastarse y convertirse en otro sistema o programa remendado, irracional, ineficiente e incontrolado que originará malestar en los usuarios finales. v. Es importante analizar los sistemas, encontrar las falencias y mejorarlas para incrementar la satisfacción de los sistemas.
  • 19. 19 Perfil del Auditor de Tecnologías de la Información Los cambios permanentes en la tecnología informática obligan a que el auditor de sistemas se mantenga al día, capacitándose en aspectos tales como bases de datos, sistemas abiertos, sistemas distribuidos y comunicaciones.   Además de los conocimientos tecnológicos, debe tener una despierta curiosidad intelectual, una mentalidad investigativa y conservar un alto espíritu de imparcialidad.
  • 20. 20 Áreas de Interés del Auditor de Tecnologías de la Información Si se tiene en cuenta que el objetivo básico que se busca con la adquisición y utilización del computador es el de entregar información confiable, útil y oportuna, el ámbito del auditor debe abarcar áreas donde hace presencia el computador y aquéllas que puedan afectar el cumplimiento de dicho objetivo, tales como:   • La Gerencia de Sistemas. • La organización y el personal. • El área del computador. • Las aplicaciones. • Los estándares de documentación y desarrollo. • La operación del computador. • La gerencia financiera. • Los planes de desarrollo informático. • Los controles y la seguridad en general. • Los archivos maestros y de transacciones. • La Red de Comunicaciones y de Datos. • La Internet / Intranet. • Los microcomputadores. • La Transferencia Electrónica de Documentos. • Otros.
  • 21. 21 ADMINISTRACIÓN DE LA FUNCIÓN TECNICA: Una propuesta   La Oficina de Sistema, efectúa la Coordinación y Supervisión Técnica de los profesionales asignados para el desarrollo de esta actividad, así como también, la revisión del informe final.
  • 22. 22 El Proceso de la Auditoría de Tecnologías de la Información   Toda acción de auditoría sigue ciertas fases específicas mediante las cuales se desarrolla el trabajo. Se deben seguir básicamente las siguientes fases:
  • 23. 23 Componentes de un plan anual a) Resumen del plan a largo plazo. b) Objetivos del programa para el año entrante. c) Detalles de las actividades relacionadas con estos objetivos. d) Asignación de recursos. e) Plan de seguimiento y evaluación del programa. f) Presupuesto anual (incluyendo fuentes de financiamiento).
  • 24. 24 ¿Cómo hacer para preparar un plan anual de trabajo? 1. Decidir quién participará en la preparación del nuevo plan. 2. Organizar reuniones de planeación al menos tres meses antes de que finalice el plan actual. 3. Revisar el plan de trabajo actual con el grupo de planeación. 4. Discutir con el equipo si las actividades actuales necesitan modificarse. 5. Si fuera necesario, proponer un ejercicio de "lluvia de ideas" para crear nuevas actividades. 6. Describir cada actividad en detalle. 7. Determinar quién será el responsable de llevar a cabo cada actividad. 8. Decidir qué recursos se necesitarán para realizar las actividades propuestas y cómo se obtendrán. 9. Revisar el presupuesto para asegurar que estén disponibles los fondos necesarios para cada una de las actividades. Fuente: http://erc.msh.org/fpmh_spanish/chp2/p2.html
  • 25. 25 Desarrollar y organizar las actividades Asegurarse de contestar a las siguientes preguntas: Cuál - ¿ Cuál es la actividad? Quién - ¿Quién es (quiénes son) responsable(s) de llevar a cabo la actividad? Cómo - ¿Qué recursos son necesarios? Cuándo - ¿En qué fecha se inicia y termina la actividad? Dónde - ¿Dónde se llevará a cabo la actividad? Cuando se desarrollan las actividades para el programa u organización a) Fundamentar las actividades en los objetivos establecidos; b) Establecer claramente la actividad; c) Indicar cuándo se llevará a cabo la actividad; d) Asignar responsabilidades al personal apropiado; e) Asegurarse de que los recursos necesarios estén disponibles. Fuente: http://erc.msh.org/fpmh_spanish/chp2/p2.html
  • 26. 26 Características de un proyecto 1.- Tener un principio y un fin. 2.- Tener un calendario definido de ejecución. 3.- Plantearse de una sola vez. 4.- Necesitar la concurriencia de varias personas en función de unas necesidades especificas. 6.- Contar con un conjunto limitado de recursos. Reglas para la dirección de un proyecto (Trabajo en equipo) 1.- Establecer un Gran Designio (Fijar una meta para nuestros colaboradores y para nosotros; Crear un consenso y una aspiración común) 2.- Determinar Objetivos del proyecto. 3.- Establecer los puntos de control, las actividades, la Relaciones y las estimaciones de tiempo. Fuente: http://monografias.com
  • 27. 27 Reglas para la dirección de un proyecto (Trabajo en equipo) 4.- Dibujar graficamente el esquema del proyecto. 5.- Dirigir a las personas individualmente y como equipo de proyecto. 6.- Reforzar el sentido de responsabilidad y moral del grupo del proyecto. 7.- Mantener informados a todos los elementos efectuados. 8.- Vitalizar a los componentes del grupo mediante la construcción de un consenso. 9.- Encausar el poder propio y el de los demás elementos del equipo. 10.- Favorecer la asunción de riesgo y la creatividad.
  • 28. 28 La Ejecución de la Auditoría
  • 29. 29 Diferencia entre Controles y Seguridades Se entiende por controles al conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y principios admitidos. Al hablar de seguridades nos referimos a todas las actividades realizadas con el fin de mantener la reserva de la información: en el manipuleo, proceso, archivo y uso de la información por parte del personal que opera y administra el sistema.
  • 30. 30 Controles de Carácter General Controles de Adquisición, Organización, Desarrollo, Administración física y lógica, Documentación y de Seguridad. Controles de Carácter Específico Controles de Aplicaciones (Entrada, Procesamiento y Salida), Bases de Datos, de Procesamiento Distribuido y de Microcomputadoras.
  • 31. 31 Entonces....se evalúa a través de Controles de Carácter General y/o Controles de Carácter Específico. Recomendación: Se debe ir de lo general a lo particular ¿ Cómo ir de lo general a lo particular ? El auditor debe identificar, verificar y evaluar los métodos de control en el proceso de obtención de la evidencia adecuada, para fundamentar las conclusiones de auditoría a través de pruebas de cumplimiento y/o sustantivas.  
  • 32. 32 Pruebas de Cumplimiento   Se usan para determinar si un procedimiento de control prescrito está funcionando efectivamente y consisten en verificar: a) La aplicación de leyes o reglamentos y de los procedimientos establecidos en los manuales que éstos se encuentren actualizados. b) El conocimiento por parte del personal, de los manuales y de las políticas del ambiente informático. c) La existencia de informes o memorandos preparados por el Departamento de Informática. d) Si han sido implantadas las recomendaciones emitidas por auditorías anteriores.
  • 33. 33 Pruebas Sustantivas Se diseñan para proveer una seguridad razonable sobre la validez de la información producida. El desarrollo de las pruebas es logrado mediante la aplicación de una o varias técnicas de auditoría, ya sea simultánea o secuencialmente, tales como: a) Analizar registros. b) Hacer operaciones. c) Comparar archivos. d) Estratificar archivos. e) Seleccionar una muestra aleatoria. f) Resumir información. g) Generar reportes. h) Construir archivos de prueba. i) Extraer información de un archivo. j) Realizar análisis estadísticos. k) Simular parte del sistema o el sistema completo.
  • 34. 34 Técnicas de Auditoría Asistidas por Computador, TAAC's (o CAAT´s) Técnicas de auditoría asistidas por computador (ó TAAC's): se orientan a: •Datos; •Aplicaciones; •Equipos y programas. Permiten seleccionar y procesar la información necesaria para fines específicos: •Métodos de muestreo estadístico; •Aumentar el alcance de las pruebas y •Verificar la integridad de los datos en la población auditada.
  • 35. 35 Herramientas automatizadas de apoyo a la auditoría (CAAT ´s) El propósito de estos herramientas es auxiliar en la consulta y los cálculos básicos sobre los archivos magnéticos que anteriormente se realizaban con registros en forma manual (Ej. paquete IDEA - Interactive Data Extraction Analysis). Principales funciones: 1) Lectura de archivos. 2) Validación de campos. 3) Pruebas parciales. 4) Lectura salteada de los registros. 5) Identificación de registros duplicados. 6) Chequeo de ausencia de registros en una secuencia. 7) Ordenamiento de intercalación de los datos. 8) Obtención de totales y sub-totales. 9) Ejecución de cálculos. 10) Búsqueda de tablas. 11) Clasificación por períodos de vencimiento. 12) Selección de registros. 13) Generación de archivos de salida. 14) Comparación de archivos.
  • 36. 36 Seguimiento Esta fase cierra el ciclo del proceso de auditoría, en la cual se efectuará el análisis y evaluación del acatamiento de las entidades del estado a las recomendaciones formuladas por la Contraloría General de la República. Para su ejecución se debe cumplir todo el ciclo de auditoría.