Subido pormarcosrojas160807
PPTX, PDF28 vistas

auditoria informatica control de la informatica

todo de la informatica en unas idpaos

Incrustar presentación

Descargar para leer sin conexión
Auditoria Informática Otero pacheco Sebastián
La Informática es la ciencia aplicada que abarca el estudio y aplicación del tratamiento automático de la información, utilizando dispositivos electrónicos y sistemas computacionales. También está definida como el procesamiento automático de la información. INFORMATICA
Concepto de Informática • Ciencia del Tratamiento sistemático y eficaz, realizado especialmente mediante maquinas automáticas, de la información contemplada como vehiculo del saber humano y de la comunicación en los ámbitos técnico, económico y social. (1966)
HARDWARE SOFTWARE REDES ORGANIZACIONES SEGURIDADES CONTINGENCIAS INFORMATICA
Corresponde a todas las partes físicas y tangibles de una computadora: sus componentes eléctricos, electrónicos, electromecánicos y mecánicos; sus cables, gabinetes o cajas, periféricos de todo tipo y cualquier otro elemento físico involucrado; contrariamente al soporte lógico e intangible que es llamado software. Hardware
Se refiere al equipamiento lógico o soporte lógico de una computadora digital, y comprende el conjunto de los componentes lógicos necesarios para hacer posible la realización de una tarea específica, en contraposición a los componentes físicos del sistema(hardware). Software Software
Una red de computadoras, también llamada red de ordenadores o red informática, es un conjunto de equipos (computadoras y/o dispositivos) conectados por medio de cables, señales, ondas o cualquier otro método de transporte de datos, que comparten información (archivos), recursos (CD-ROM, impresoras, etc.), servicios (acceso a internet, e-mail, chat, juegos), etc. Red Informatica
Consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación, sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización. La seguridad informática
Estudio y análisis de las políticas de seguridad •Responsabilidades de uso y derechos •Responsabilidad de Uso •Responsabilidad de la empresa •Responsabilidades del Usuario •Aspectos de influencia de las políticas de seguridad •Cuentas, perfiles y autorizaciones •Control de acceso •Uso adecuado de software •Uso adecuado de recursos materiales y hardware •Respaldos
Son sistemas sociales diseñados para lograr metas y objetivos por medio de los recursos humanos o de la gestión del talento humano y de otro tipo. Están compuestas por subsistemas interrelacionados que cumplen funciones especializadas. Convenio sistemático entre personas para lograr algún propósito específico. Las Organizaciones son el objeto de estudio de la Ciencia de la Administración, y a su vez de algunas áreas de estudio de otras disciplinas como la Sociología, la Economía y la Psicología. Las organizaciones
Un plan de contingencia es una presentación para tomar acciones específicas cuando surjan problemas o una condición que no este considerado en el proceso de planeación y ejecución normal. Un plan de contingencia contempla tres tipos de acciones, las cuales son: Prevención: Conjunto de acciones a realizar para prevenir cualquier contingencia que afecte la continuidad operativa, ya sea en forma parcial o total. Esta vela por reducir el impacto, permitiendo restablecer a la brevedad posible los diferentes aspectos reducidos. Detección: Deben contener el daño en el momento, así como limitarlo tanto como sea posible contemplando todos los desastres naturales y eventos no considerados. Recuperación: Abarcan el mantenimiento de partes críticas entre la pérdida de los recursos, así como de su recuperación o restauración Plan de contingencia
Auditoria con Informática • Mejor conocido como Auditorias asistidas por computadora, el uso de la herramienta permite ampliar la cobertura del examen, reduciendo costos/tiempo de las pruebas y procedimientos de muestreo.
Entre sus técnicas se encuentran: pruebas integrales, simulación, revisiones de acceso, operaciones en paralelo, evaluación de un sistema de datos de prueba, registros extendidos, entre otros.
Auditoria en Informática • Es la revisión y evaluación de controles, sistemas y procedimientos de la función de informática, de los equipos de computo, su utilización, eficiencia y seguridad; garantizando una utilización más eficiente, confiable y segura de la información que servirá para una adecuada toma de decisiones.
Metodología de Auditoria en Informática 1. Diagnóstico • Negocio • Informática 2. Justificación • Áreas a auditar • Plan Propuesto 3. Adecuación • Método-Técnicas • Herramientas 4. Formalización • Aprobación • Arranque 5. Desarrollo • Entrevistas • Observaciones • Recomendaciones • Informe Final 6. Implantación / Seguimiento • Acciones • Seguimiento
Auditoría informática “ LAS PERSONAS NO SUELEN HACER AQUELLO QUE SE LE DICE, SINO AQUELLO DONDE SE LES TIENE CONTROLADO”
Auditoría Norma AENOR X50-109: Examen metódico de una situación relativa a un producto, proceso, organización, en materia de calidad, realizado en cooperación con los interesados, a fin de verificar la concordancia de la realidad con lo preestablecido, y la adecuación al objetivo buscado. Ley 19/1988 de Auditoría de Cuentas: "... la actividad que, mediante la utilización de determinadas técnicas de revisión, tiene por objeto la emisión de un informe acerca de la fiabilidad de los documentos contables auditados; delimitándose, pues, a la mera comprobación de que los saldos que figuran en sus anotaciones contables concuerdan con los ofrecidos en el balance y en la cuenta de resultados, ...".
Auditoría Informatica Proceso metodológico que tiene el propósito principal de evaluar todos los recursos (humanos, financieros, tecnológicos, etc.) relacionados con la función de informática para garantizar al negocio que dicho conjunto opera con criterio de integración y desempeño de niveles altamente satisfactorios para que apoyen la productividad y rentabilidad de la organización. El conjunto de acciones que realiza el personal especializado en las áreas de auditoría y de informática para el aseguramiento continuo de que todos los recursos de informática operen en un ambiente de seguridad y control eficiente, con la finalidad de proporcionar a la alta dirección o niveles ejecutivos, la certeza de que la información que pasa por el área se maneja con los conceptos básicos de integridad, totalidad, exactitud, confiabilidad, etc. La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalaciones, con el objeto de evaluar su efectividad y presentar recomendaciones a la gerencia.
Auditoría Informatica La informática no siempre es auditable Para serlo debe basarse en estándares
Control Interno Es un proceso que lleva a cabo el Consejo de Administración, la dirección y el resto de los miembros de una entidad, con el objeto de proporcionar un grado razonable de confianza en la consecución de objetivos de fiabilidad de la información financiera, eficacia y eficiencia de las operaciones y cumplimiento de las leyes y las normas aplicables.
Fases de la Auditoría informática ESTUDIO PRELIMINAR REVISION Y EVALUACION DE CONTROLES EXAMEN DETALLADO DE AREAS CRITICAS COMUNICACION DE RESULTADOS
PROGRAMA DE AUDITORIA FASE I ESTUDIO PRELIMINAR ACTUACION: AUDITORIA INFORMATICA AMBITO: MUNICIPIO DE LA CIUDAD DE BUENOS AIRES OBJETIVO: OBTENER INFORMACION BASICA SOBRE LAS ACTIVIDADES INFORMATICAS DE LA INSTITUCION N.1 PROCEDIMIENTOS P/T AUDITOR FECHA 1 2 3 4 5 6 7 8 Elabore un formulario para visita previa Elabore las comunicaciones del inicio del examen para todos los funcionarios involucrados en la auditoria Entrevista al personal del área de informática Obtenga organigramas estructurales y funcionales del área objeto del examen Obtenga información básica utilizando el formulario de visita previa Determine el cumplimiento de objetivos y políticas establecidas para la creación del area de TICs Obtenga manuales, instructivos, reglamentos, actas y demás documentos que rigen las actividades del área Soliciten el plan de actividades y determinen el grado de su cumplimiento Solicite un detalle del equipamiento informáticos y equipos de oficina adquirido para el departamento Elabore P/T para documentar las desviaciones encontradas
FASE I ESTUDIO PRELIMINAR OBTENER INFORMACION BASICA SOBRE LAS ACTIVIDADES INFORMATICAS DE LA INSTITUCION HERRAMIENTAS Y TÉCNICAS •Cuestionarios •Entrevistas •Checklist •Rango •Binaria •Trazas o Huellas •Log
PROGRAMA DE AUDITORIA FASE II REVISION Y EVALUACION DE CONTROLES ACTUACION: AUDITORIA INFORMATICA AMBITO: MUNICIPIO DE LA CIUDAD DE BUENOS AIRES OBJETIVO: REVISAR Y EVALUAR LOS CONTROLES Y SEGURIDADES IMPLANTADAS EN EL AREA DE TICS. N.1 PROCEDIMIENTOS P/T AUDITOR FECHA 1 2 3 4 5 6 7 8 Revisar el procedimiento seguido para la selección y contratación del personal técnico y establezca las inconsistencias producidas. Verifique selectivamente que se cumpla la estructura y funciones del Reglamento Orgánico Funcional aprobado. Determine el grado de satisfacción de los usuarios de los sistemas computarizados mediante la aplicación de cuestionarios o listas de chequeo. Efectué un análisis sobre la ubicación del área TICs dentro de la institución y determine su conveniencia o no. Complete la recopilación de manuales, instructivos, normas, etc. Y revise selectivamente su contenido y aplicación. Prepare el informe de cumplimiento de la fase, dirigido al auditor general. Aplique otros procedimientos que sean necesarios para el cumplimiento de los objetivos planteados para esta fase. Elabore papeles de trabajo para documentar las desviaciones encontradas.
Técnicas de verificación ocular: • Comparación • Observación • Revisión Selectiva • Rastreo Técnica de verificación verbal: • Indagación Técnica de verificación escrita: • Análisis • Conciliación • Confirmación Pruebas de Auditoría. Las pruebas que contribuyen a contar con la suficiente evidencia de auditoría, son dos: pruebas de control y pruebas sustantivas. Técnicas de verificación documental : • Comprobación • Computación Técnica de verificación física: • Inspección
Los papeles de trabajo Es la documentación que mantiene el auditor sobre los procedimientos aplicados, sobre las comprobaciones parciales realizadas y sobre las conclusiones alcanzadas después del examen. En resumen, constituyen la totalidad de los documentos preparados o recibidos por el auditor. En las normas técnicas de auditoría se establecen los objetivos principales de los papeles de trabajo, que son los siguientes: • Recoger la evidencia obtenida en la ejecución del trabajo, y también la descripción de los medios que han conducido a formar la opinión del auditor. • Ser útiles para efectuar la supervisión del trabajo del equipo de auditoría. • Ayudar al auditor en la ejecución de su trabajo. • Ser útiles para sistematizar y perfeccionar el desempeño de futuras auditorías, • Hacer posible que cualquier persona capacitada pueda supervisar la actuación realizada
Marcas de auditoría Las marcas de auditoría son signos o símbolos convencionales que utiliza el auditor, para identificar el tipo de procedimiento, tarea o pruebas realizadas en la ejecución de un examen. El uso de marcas simples facilitan su entendimiento.
PROGRAMA DE AUDITORIA FASE III EXAMEN DETALLADO DE AREAS CRITICAS ACTUACION: AUDITORIA INFORMATICA AMBITO: MUNICIPIO DE LA CIUDAD DE BUENOS AIRES OBJETIVO: REALIZAR UN EXAMEN DETALLADO DE LAS AREAS CRITICAS Y DESARROLLAR LOS HALLAZGOS CON LAS DEFICIENCIAS ENCONTRADAS. N.1 PROCEDIMIENTOS P/T AUDITOR FECHA 1 2 3 4 5 6 7 8 9 SISTEMAS Mediante diagramas de flujo evalúe el control interno de los sistemas identificados como críticos en las fases anteriores. Obtenga copias de los reportes y formatos de pantallas ,revise con los usuarios y determine su conformidad o necesidad de incluir cambios. Mediante datos supuestos solicite que se corran ciertos programas y establezca la confiabilidad de los resultados. DOCUMENTACION Prepare un resumen de los manuales instructivos reglamentos y más normatividad vigente. Efectué una verificación selectiva del contenido, actualización y aplicación de cada uno de los documentos. SEGURIDADES Verifique selectivamente los respaldos o backups y determine si se encuentre actualizados y si garantizan la integridad de su contenido. Analice la frecuencia y el procedimiento adoptado por el centro de computo para la obtención de respaldo. FINALES. Elabore las hojas de apuntes de las desviaciones obtenidas incluyendo los elementos de un hallazgo Elabore P/T para evidenciar los errores encontrados.
Identificar Riesgos, Amenazas y Controles Identificar riesgos •Pérdida de información. •Pérdidas económicas por uso indebido de la aplicación. •Daño en los recursos de una aplicación (hardware, software, datos y comunicaciones). •Multas o sanciones. •Interrupciones prolongadas en las operaciones del negocio. Identificar amenazas •Falta de segregación de funciones. •Mantenimiento deficiente de los equipos. •Mantenimiento deficiente de la aplicación. •Accesos inadecuados a los datos y programas. •Falta de capacitación a los usuarios. •Cálculos incorrectos. •Ausencia o desactualización del plan de contingencias. Identificar controles requeridos en cuanto a los riesgos y amenazas •Copias internas y externas de datos y programas. •Acceso restringido a los datos y programas. •Procedimiento para otorgar y eliminar los accesos a los datos y programas. •Bitácoras de auditoria (log´s) y la revisión periódica de éstas. •Pólizas de seguro para los equipos. •Manuales de la aplicación completos y actualizados. •Estándares para el desarrollo y mantenimiento de la aplicación.
Documentación. · Manuales de usuario, técnicos y procedimientos. Cambios en los programas. · Solicitud por escrito. · Pruebas por parte de los usuarios. · Actualización de los manuales técnicos y de usuarios · Verificar que los cambios en los programas sean realizados por el personal de informática o por el proveedor de la aplicación. Copias de respaldo y recuperaciones. · Contenidos de las copias. · Periodicidad de las copias. · Persona responsable. · Custodia, almacenamiento, inventario, rotación de la cinta. Acceso a datos y programas. · Verificar la lista de usuarios que tiene acceso. · Revisar el procedimiento para otorgar y eliminar los accesos. · Analizar la periodicidad de los cambios de los passwords (clave). Capacitación de los usuarios Controles en la entrada, proceso y salida Comprobacion de Areas Criticas
CONVOCATORIA A CONFERENCIA FINAL DE COMUNICACIÓN DE RESULTADOS AUDITORÍA INTERNA CONVOCATORIA De conformidad con lo dispuesto en el reglamento Interno de la Entidad se convoca a los funcionarios y ex - funcionarios del instituto de investigación tecnológica -a-la-conferencia final de Resultados que- se llevará a cabo el día jueves 27 de mayo del presente año, a las 10HOO en las oficina de la Unidad de Auditoria Interna, "ubicadas en el edificio laguna azul, cuarto piso entre !a calle la Primera Constituyente y Loja de la ciudad de Riobamba, en la que se dará a conocer en contenido, del Borrador del Informe de la Auditoria a la División de Auditoria . Ing. César Villa Maura. AUDITOR GENERAL
INFORME DE AUDITORIA • MOTIVO DE LA AUDITORIA • OBJETIVO DE LA AUDITORÍA • ALCANCE DE LA AUDITORIA • BASE LEGAL • ESTRUCTURA ORGÁNICA DE LA DIVISIÓN DE INFORMÁTICA. • FUNCIONES PRINCIPALES
Constitución de la República Ley de Compañías Código Civil Código de Trabajo Comercio Electrónico Protección de Datos Personales Derecho a la Información Derechos de Autor Acceso ilícito a sistemas y equipos de informática Ley de Propiedad Industrial Valor probatorio de documentos electrónicos en legislación diversa Estudio y Análisis de la Legislación Informática aplicable al país
INFORME Sugerencias para reforzar el control interno de la entidad y para optimizar la operación en su conjunto. Las medidas correctivas adoptadas por la administración para dar efecto a sus sugerencias.
 La conclusión es la síntesis objetiva de los atributos del hallazgo, redactada de tal forma que ejerza impacto en la alta dirección. Si lo ve conveniente puede redactar su primer hallazgo y el esfuerzo de la administración por esclarecerlo. Conclusión
Las recomendaciones tienen el alcance de sugerencias formuladas por el auditor, para corregir los efectos de los hallazgos, en óptica de mejorar la economicidad, la eficiencia y la efectividad de las operaciones. Estas deben orientarse a evitar que se repitan las causas de los efectos hallados y a rescatar los efectos que sean posibles. Las recomendaciones deben ser practicables, útiles y costeables para facilitar la toma de decisiones en el proceso de implementación del sistema de control interno de la organización auditada. Recomendación

Más contenido relacionado

PPTX
Auditoria informatica
porCESAR VILLA MAURA
 
PDF
Auditoria Informática o de Sistemas - Introducción
porUniversidad San Agustin
 
PPTX
Sesion 5 orgcentros
porFausto A. Cuenca
 
PPTX
Presentación de Auditoria de Sistemas. Grupo 2
porClaraDaSilva5
 
PDF
A3 ap ratas
porCristo Esquivel Pinal
 
PDF
Auditoriasistemasi 150703002656-lva1-app6891
porjbersosa
 
PDF
Auditoria-informática-términos
porestudents
 
PPTX
Auditoria informática copia
porLoly Morante
 
Auditoria informatica
porCESAR VILLA MAURA
 
Auditoria Informática o de Sistemas - Introducción
porUniversidad San Agustin
 
Sesion 5 orgcentros
porFausto A. Cuenca
 
Presentación de Auditoria de Sistemas. Grupo 2
porClaraDaSilva5
 
A3 ap ratas
porCristo Esquivel Pinal
 
Auditoriasistemasi 150703002656-lva1-app6891
porjbersosa
 
Auditoria-informática-términos
porestudents
 
Auditoria informática copia
porLoly Morante
 

Similar a auditoria informatica control de la informatica

PDF
Unidad II
porjoseaunefa
 
PPT
Auditoria de Sistemas
porMichelle Perez
 
PPT
Auditoria informatica
porrubicolimba
 
PPT
Auditoria informatica 12
por1401201014052012
 
PPTX
Unidad 5 auditoria de sistemas
porSzarguz
 
PPTX
Auditoria Informática Exposición - CURNE - UASD.pptx
porRamón Alexander Paula Reynoso
 
PPTX
Auditoría Informática
porMaría del Cisne
 
PPTX
9-Unidad 2 : Flujo del Proceso de Auditoria. 2.5 Laboratorio – Caso Auditorí...
porLuis Fernando Aguas Bucheli
 
PPT
Auditoria de sistemas
porErnesto Herrera
 
PPTX
DIAPOSITIVAS `para proyecto de auditoria
pormarcosrojas160807
 
DOCX
Auditoria de sistemas
porMaraJosMndezLpez
 
PPT
Unidad 5 delitos informaticos
pormasterprogran
 
PPT
Auditoria informatica 12
por1401201014052012
 
PPT
R52851
porca95auditoras
 
DOCX
Auditoria De Sistemas
porcarloscv
 
PPTX
Auditoría informática
pormaekma
 
PPTX
Gabriel auditoria
porGABRIELCARRASQUEL1
 
PPT
Clase01
porMartha Chenu
 
DOCX
Auditoría informática
porJuan Prieto
 
PPTX
Auditoria informática
poranvapa
 
Unidad II
porjoseaunefa
 
Auditoria de Sistemas
porMichelle Perez
 
Auditoria informatica
porrubicolimba
 
Auditoria informatica 12
por1401201014052012
 
Unidad 5 auditoria de sistemas
porSzarguz
 
Auditoria Informática Exposición - CURNE - UASD.pptx
porRamón Alexander Paula Reynoso
 
Auditoría Informática
porMaría del Cisne
 
9-Unidad 2 : Flujo del Proceso de Auditoria. 2.5 Laboratorio – Caso Auditorí...
porLuis Fernando Aguas Bucheli
 
Auditoria de sistemas
porErnesto Herrera
 
DIAPOSITIVAS `para proyecto de auditoria
pormarcosrojas160807
 
Auditoria de sistemas
porMaraJosMndezLpez
 
Unidad 5 delitos informaticos
pormasterprogran
 
Auditoria informatica 12
por1401201014052012
 
R52851
porca95auditoras
 
Auditoria De Sistemas
porcarloscv
 
Auditoría informática
pormaekma
 
Gabriel auditoria
porGABRIELCARRASQUEL1
 
Clase01
porMartha Chenu
 
Auditoría informática
porJuan Prieto
 
Auditoria informática
poranvapa
 

auditoria informatica control de la informatica

  • 1.
  • 2.
    La Informática esla ciencia aplicada que abarca el estudio y aplicación del tratamiento automático de la información, utilizando dispositivos electrónicos y sistemas computacionales. También está definida como el procesamiento automático de la información. INFORMATICA
  • 3.
    Concepto de Informática •Ciencia del Tratamiento sistemático y eficaz, realizado especialmente mediante maquinas automáticas, de la información contemplada como vehiculo del saber humano y de la comunicación en los ámbitos técnico, económico y social. (1966)
  • 4.
  • 5.
    Corresponde a todaslas partes físicas y tangibles de una computadora: sus componentes eléctricos, electrónicos, electromecánicos y mecánicos; sus cables, gabinetes o cajas, periféricos de todo tipo y cualquier otro elemento físico involucrado; contrariamente al soporte lógico e intangible que es llamado software. Hardware
  • 6.
    Se refiere alequipamiento lógico o soporte lógico de una computadora digital, y comprende el conjunto de los componentes lógicos necesarios para hacer posible la realización de una tarea específica, en contraposición a los componentes físicos del sistema(hardware). Software Software
  • 7.
    Una red decomputadoras, también llamada red de ordenadores o red informática, es un conjunto de equipos (computadoras y/o dispositivos) conectados por medio de cables, señales, ondas o cualquier otro método de transporte de datos, que comparten información (archivos), recursos (CD-ROM, impresoras, etc.), servicios (acceso a internet, e-mail, chat, juegos), etc. Red Informatica
  • 8.
    Consiste en asegurarque los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación, sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización. La seguridad informática
  • 9.
    Estudio y análisisde las políticas de seguridad •Responsabilidades de uso y derechos •Responsabilidad de Uso •Responsabilidad de la empresa •Responsabilidades del Usuario •Aspectos de influencia de las políticas de seguridad •Cuentas, perfiles y autorizaciones •Control de acceso •Uso adecuado de software •Uso adecuado de recursos materiales y hardware •Respaldos
  • 10.
    Son sistemas socialesdiseñados para lograr metas y objetivos por medio de los recursos humanos o de la gestión del talento humano y de otro tipo. Están compuestas por subsistemas interrelacionados que cumplen funciones especializadas. Convenio sistemático entre personas para lograr algún propósito específico. Las Organizaciones son el objeto de estudio de la Ciencia de la Administración, y a su vez de algunas áreas de estudio de otras disciplinas como la Sociología, la Economía y la Psicología. Las organizaciones
  • 11.
    Un plan decontingencia es una presentación para tomar acciones específicas cuando surjan problemas o una condición que no este considerado en el proceso de planeación y ejecución normal. Un plan de contingencia contempla tres tipos de acciones, las cuales son: Prevención: Conjunto de acciones a realizar para prevenir cualquier contingencia que afecte la continuidad operativa, ya sea en forma parcial o total. Esta vela por reducir el impacto, permitiendo restablecer a la brevedad posible los diferentes aspectos reducidos. Detección: Deben contener el daño en el momento, así como limitarlo tanto como sea posible contemplando todos los desastres naturales y eventos no considerados. Recuperación: Abarcan el mantenimiento de partes críticas entre la pérdida de los recursos, así como de su recuperación o restauración Plan de contingencia
  • 12.
    Auditoria con Informática •Mejor conocido como Auditorias asistidas por computadora, el uso de la herramienta permite ampliar la cobertura del examen, reduciendo costos/tiempo de las pruebas y procedimientos de muestreo.
  • 13.
    Entre sus técnicasse encuentran: pruebas integrales, simulación, revisiones de acceso, operaciones en paralelo, evaluación de un sistema de datos de prueba, registros extendidos, entre otros.
  • 14.
    Auditoria en Informática •Es la revisión y evaluación de controles, sistemas y procedimientos de la función de informática, de los equipos de computo, su utilización, eficiencia y seguridad; garantizando una utilización más eficiente, confiable y segura de la información que servirá para una adecuada toma de decisiones.
  • 15.
    Metodología de Auditoriaen Informática 1. Diagnóstico • Negocio • Informática 2. Justificación • Áreas a auditar • Plan Propuesto 3. Adecuación • Método-Técnicas • Herramientas 4. Formalización • Aprobación • Arranque 5. Desarrollo • Entrevistas • Observaciones • Recomendaciones • Informe Final 6. Implantación / Seguimiento • Acciones • Seguimiento
  • 16.
    Auditoría informática “ LASPERSONAS NO SUELEN HACER AQUELLO QUE SE LE DICE, SINO AQUELLO DONDE SE LES TIENE CONTROLADO”
  • 17.
    Auditoría Norma AENOR X50-109: Examenmetódico de una situación relativa a un producto, proceso, organización, en materia de calidad, realizado en cooperación con los interesados, a fin de verificar la concordancia de la realidad con lo preestablecido, y la adecuación al objetivo buscado. Ley 19/1988 de Auditoría de Cuentas: "... la actividad que, mediante la utilización de determinadas técnicas de revisión, tiene por objeto la emisión de un informe acerca de la fiabilidad de los documentos contables auditados; delimitándose, pues, a la mera comprobación de que los saldos que figuran en sus anotaciones contables concuerdan con los ofrecidos en el balance y en la cuenta de resultados, ...".
  • 18.
    Auditoría Informatica Proceso metodológicoque tiene el propósito principal de evaluar todos los recursos (humanos, financieros, tecnológicos, etc.) relacionados con la función de informática para garantizar al negocio que dicho conjunto opera con criterio de integración y desempeño de niveles altamente satisfactorios para que apoyen la productividad y rentabilidad de la organización. El conjunto de acciones que realiza el personal especializado en las áreas de auditoría y de informática para el aseguramiento continuo de que todos los recursos de informática operen en un ambiente de seguridad y control eficiente, con la finalidad de proporcionar a la alta dirección o niveles ejecutivos, la certeza de que la información que pasa por el área se maneja con los conceptos básicos de integridad, totalidad, exactitud, confiabilidad, etc. La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalaciones, con el objeto de evaluar su efectividad y presentar recomendaciones a la gerencia.
  • 19.
    Auditoría Informatica La informáticano siempre es auditable Para serlo debe basarse en estándares
  • 20.
    Control Interno Es unproceso que lleva a cabo el Consejo de Administración, la dirección y el resto de los miembros de una entidad, con el objeto de proporcionar un grado razonable de confianza en la consecución de objetivos de fiabilidad de la información financiera, eficacia y eficiencia de las operaciones y cumplimiento de las leyes y las normas aplicables.
  • 21.
    Fases de laAuditoría informática ESTUDIO PRELIMINAR REVISION Y EVALUACION DE CONTROLES EXAMEN DETALLADO DE AREAS CRITICAS COMUNICACION DE RESULTADOS
  • 22.
    PROGRAMA DE AUDITORIA FASEI ESTUDIO PRELIMINAR ACTUACION: AUDITORIA INFORMATICA AMBITO: MUNICIPIO DE LA CIUDAD DE BUENOS AIRES OBJETIVO: OBTENER INFORMACION BASICA SOBRE LAS ACTIVIDADES INFORMATICAS DE LA INSTITUCION N.1 PROCEDIMIENTOS P/T AUDITOR FECHA 1 2 3 4 5 6 7 8 Elabore un formulario para visita previa Elabore las comunicaciones del inicio del examen para todos los funcionarios involucrados en la auditoria Entrevista al personal del área de informática Obtenga organigramas estructurales y funcionales del área objeto del examen Obtenga información básica utilizando el formulario de visita previa Determine el cumplimiento de objetivos y políticas establecidas para la creación del area de TICs Obtenga manuales, instructivos, reglamentos, actas y demás documentos que rigen las actividades del área Soliciten el plan de actividades y determinen el grado de su cumplimiento Solicite un detalle del equipamiento informáticos y equipos de oficina adquirido para el departamento Elabore P/T para documentar las desviaciones encontradas
  • 23.
    FASE I ESTUDIOPRELIMINAR OBTENER INFORMACION BASICA SOBRE LAS ACTIVIDADES INFORMATICAS DE LA INSTITUCION HERRAMIENTAS Y TÉCNICAS •Cuestionarios •Entrevistas •Checklist •Rango •Binaria •Trazas o Huellas •Log
  • 24.
    PROGRAMA DE AUDITORIA FASEII REVISION Y EVALUACION DE CONTROLES ACTUACION: AUDITORIA INFORMATICA AMBITO: MUNICIPIO DE LA CIUDAD DE BUENOS AIRES OBJETIVO: REVISAR Y EVALUAR LOS CONTROLES Y SEGURIDADES IMPLANTADAS EN EL AREA DE TICS. N.1 PROCEDIMIENTOS P/T AUDITOR FECHA 1 2 3 4 5 6 7 8 Revisar el procedimiento seguido para la selección y contratación del personal técnico y establezca las inconsistencias producidas. Verifique selectivamente que se cumpla la estructura y funciones del Reglamento Orgánico Funcional aprobado. Determine el grado de satisfacción de los usuarios de los sistemas computarizados mediante la aplicación de cuestionarios o listas de chequeo. Efectué un análisis sobre la ubicación del área TICs dentro de la institución y determine su conveniencia o no. Complete la recopilación de manuales, instructivos, normas, etc. Y revise selectivamente su contenido y aplicación. Prepare el informe de cumplimiento de la fase, dirigido al auditor general. Aplique otros procedimientos que sean necesarios para el cumplimiento de los objetivos planteados para esta fase. Elabore papeles de trabajo para documentar las desviaciones encontradas.
  • 25.
    Técnicas de verificaciónocular: • Comparación • Observación • Revisión Selectiva • Rastreo Técnica de verificación verbal: • Indagación Técnica de verificación escrita: • Análisis • Conciliación • Confirmación Pruebas de Auditoría. Las pruebas que contribuyen a contar con la suficiente evidencia de auditoría, son dos: pruebas de control y pruebas sustantivas. Técnicas de verificación documental : • Comprobación • Computación Técnica de verificación física: • Inspección
  • 26.
    Los papeles detrabajo Es la documentación que mantiene el auditor sobre los procedimientos aplicados, sobre las comprobaciones parciales realizadas y sobre las conclusiones alcanzadas después del examen. En resumen, constituyen la totalidad de los documentos preparados o recibidos por el auditor. En las normas técnicas de auditoría se establecen los objetivos principales de los papeles de trabajo, que son los siguientes: • Recoger la evidencia obtenida en la ejecución del trabajo, y también la descripción de los medios que han conducido a formar la opinión del auditor. • Ser útiles para efectuar la supervisión del trabajo del equipo de auditoría. • Ayudar al auditor en la ejecución de su trabajo. • Ser útiles para sistematizar y perfeccionar el desempeño de futuras auditorías, • Hacer posible que cualquier persona capacitada pueda supervisar la actuación realizada
  • 27.
    Marcas de auditoría Lasmarcas de auditoría son signos o símbolos convencionales que utiliza el auditor, para identificar el tipo de procedimiento, tarea o pruebas realizadas en la ejecución de un examen. El uso de marcas simples facilitan su entendimiento.
  • 28.
    PROGRAMA DE AUDITORIA FASEIII EXAMEN DETALLADO DE AREAS CRITICAS ACTUACION: AUDITORIA INFORMATICA AMBITO: MUNICIPIO DE LA CIUDAD DE BUENOS AIRES OBJETIVO: REALIZAR UN EXAMEN DETALLADO DE LAS AREAS CRITICAS Y DESARROLLAR LOS HALLAZGOS CON LAS DEFICIENCIAS ENCONTRADAS. N.1 PROCEDIMIENTOS P/T AUDITOR FECHA 1 2 3 4 5 6 7 8 9 SISTEMAS Mediante diagramas de flujo evalúe el control interno de los sistemas identificados como críticos en las fases anteriores. Obtenga copias de los reportes y formatos de pantallas ,revise con los usuarios y determine su conformidad o necesidad de incluir cambios. Mediante datos supuestos solicite que se corran ciertos programas y establezca la confiabilidad de los resultados. DOCUMENTACION Prepare un resumen de los manuales instructivos reglamentos y más normatividad vigente. Efectué una verificación selectiva del contenido, actualización y aplicación de cada uno de los documentos. SEGURIDADES Verifique selectivamente los respaldos o backups y determine si se encuentre actualizados y si garantizan la integridad de su contenido. Analice la frecuencia y el procedimiento adoptado por el centro de computo para la obtención de respaldo. FINALES. Elabore las hojas de apuntes de las desviaciones obtenidas incluyendo los elementos de un hallazgo Elabore P/T para evidenciar los errores encontrados.
  • 29.
    Identificar Riesgos, Amenazasy Controles Identificar riesgos •Pérdida de información. •Pérdidas económicas por uso indebido de la aplicación. •Daño en los recursos de una aplicación (hardware, software, datos y comunicaciones). •Multas o sanciones. •Interrupciones prolongadas en las operaciones del negocio. Identificar amenazas •Falta de segregación de funciones. •Mantenimiento deficiente de los equipos. •Mantenimiento deficiente de la aplicación. •Accesos inadecuados a los datos y programas. •Falta de capacitación a los usuarios. •Cálculos incorrectos. •Ausencia o desactualización del plan de contingencias. Identificar controles requeridos en cuanto a los riesgos y amenazas •Copias internas y externas de datos y programas. •Acceso restringido a los datos y programas. •Procedimiento para otorgar y eliminar los accesos a los datos y programas. •Bitácoras de auditoria (log´s) y la revisión periódica de éstas. •Pólizas de seguro para los equipos. •Manuales de la aplicación completos y actualizados. •Estándares para el desarrollo y mantenimiento de la aplicación.
  • 30.
    Documentación. · Manuales deusuario, técnicos y procedimientos. Cambios en los programas. · Solicitud por escrito. · Pruebas por parte de los usuarios. · Actualización de los manuales técnicos y de usuarios · Verificar que los cambios en los programas sean realizados por el personal de informática o por el proveedor de la aplicación. Copias de respaldo y recuperaciones. · Contenidos de las copias. · Periodicidad de las copias. · Persona responsable. · Custodia, almacenamiento, inventario, rotación de la cinta. Acceso a datos y programas. · Verificar la lista de usuarios que tiene acceso. · Revisar el procedimiento para otorgar y eliminar los accesos. · Analizar la periodicidad de los cambios de los passwords (clave). Capacitación de los usuarios Controles en la entrada, proceso y salida Comprobacion de Areas Criticas
  • 31.
    CONVOCATORIA A CONFERENCIAFINAL DE COMUNICACIÓN DE RESULTADOS AUDITORÍA INTERNA CONVOCATORIA De conformidad con lo dispuesto en el reglamento Interno de la Entidad se convoca a los funcionarios y ex - funcionarios del instituto de investigación tecnológica -a-la-conferencia final de Resultados que- se llevará a cabo el día jueves 27 de mayo del presente año, a las 10HOO en las oficina de la Unidad de Auditoria Interna, "ubicadas en el edificio laguna azul, cuarto piso entre !a calle la Primera Constituyente y Loja de la ciudad de Riobamba, en la que se dará a conocer en contenido, del Borrador del Informe de la Auditoria a la División de Auditoria . Ing. César Villa Maura. AUDITOR GENERAL
  • 32.
    INFORME DE AUDITORIA •MOTIVO DE LA AUDITORIA • OBJETIVO DE LA AUDITORÍA • ALCANCE DE LA AUDITORIA • BASE LEGAL • ESTRUCTURA ORGÁNICA DE LA DIVISIÓN DE INFORMÁTICA. • FUNCIONES PRINCIPALES
  • 34.
    Constitución de laRepública Ley de Compañías Código Civil Código de Trabajo Comercio Electrónico Protección de Datos Personales Derecho a la Información Derechos de Autor Acceso ilícito a sistemas y equipos de informática Ley de Propiedad Industrial Valor probatorio de documentos electrónicos en legislación diversa Estudio y Análisis de la Legislación Informática aplicable al país
  • 35.
    INFORME Sugerencias para reforzarel control interno de la entidad y para optimizar la operación en su conjunto. Las medidas correctivas adoptadas por la administración para dar efecto a sus sugerencias.
  • 36.
     La conclusiónes la síntesis objetiva de los atributos del hallazgo, redactada de tal forma que ejerza impacto en la alta dirección. Si lo ve conveniente puede redactar su primer hallazgo y el esfuerzo de la administración por esclarecerlo. Conclusión
  • 37.
    Las recomendaciones tienenel alcance de sugerencias formuladas por el auditor, para corregir los efectos de los hallazgos, en óptica de mejorar la economicidad, la eficiencia y la efectividad de las operaciones. Estas deben orientarse a evitar que se repitan las causas de los efectos hallados y a rescatar los efectos que sean posibles. Las recomendaciones deben ser practicables, útiles y costeables para facilitar la toma de decisiones en el proceso de implementación del sistema de control interno de la organización auditada. Recomendación