SlideShare una empresa de Scribd logo
1 de 34
AUDITORIA Y CONTROL
INFORMATICOS
CONCEPTO DE AUDITORIA DE
SISTEMAS (1)
• Auditorius  Auditoría
• Auditor  tiene la virtud de oir y revisar cuentas.
• Evaluar la eficiencia y eficacia con que se está
operando
• Señalar alternativas de acción para corregir
errores ó mejorar la forma de actuación.
• Revisión, evaluación y elaboración de un informe
para el ejecutivo encaminado a un objetivo
específico en el ambiente computacional y los
sistemas.
CONCEPTO DE AUDITORIA DE
SISTEMAS (2)
1. Verificar de qué manera se están aplicando los
controles en el área de actuación de la
Informática.
2. Examen y evaluación de los procesos y del uso
de los recursos que en ellos intervienen,
determinado el grado de eficiencia, efectividad y
economía de los sistemas de la empresa,
presentando conclusiones y recomendaciones
encaminadas a corregir las deficiencias
existentes y mejorar los procesos.
CONCEPTO DE AUDITORIA DE
SISTEMAS (3)
Proceso de recolección y evaluación de evidencia
para:
* Determinar daños, Salvaguardar activos.
* Evitar destrucción de datos, uso no autorizado,
robos.
* Mantener Integridad de Información, Presentar
datos completos, oportunos, confiables.
* Alcanzar metas organizacionales,Contribución
de la función informática.
CONCEPTO DE AUDITORIA DE
SISTEMAS (4)
Es el examen o revisión de carácter objetivo
(independiente), crítico(evidencia), sistemático
(normas), selectivo (muestras) de las políticas, normas,
prácticas, funciones, procesos, procedimientos e
informes relacionados con los sistemas de información
computarizados, con el fin de emitir una opinión
profesional (imparcial) con respecto a:
a) Eficiencia en el uso de los recursos informáticos
b) Validez de la información
c) Efectividad de los controles establecidos
TIPOS DE AUDITORIA
• Financiera. Veracidad de los estados financieros, prácticas y
principios contables.
• Tributaria. Observa el cumplimiento del código tributario.
• Gestión. Analiza logros del proceso administrativo, funciones,
métodos, etc.
• Sistemas. Relativo a la función informática.
• Ambiental, Gubernamental, etc.
Tipos de auditoria de sistemas
• Desarrollo de sistemas.
• Operación.
• Bases de datos.
• Ofimática.
• Comunicaciones y Redes.
• Seguridad física y lógica.
AUDITORIA DE LA OPERACION
INFORMATICA
• La Operación Informática se ocupa de
producir resultados informáticos de todo tipo:
reportes, bases de datos, procesamiento de
documento, etc.
– Control de entrada de datos
– Planificación y Recepción de Aplicaciones
– Centro de Control y Seguimiento de Trabajos
– Operadores de Centros de Cómputos
– Centro de Control de Red y Centro de Diagnosis
AUDITORIA DE DESARROLLO DE
PROYECTOS
• Ciclo de vida de los sistemas
• Se utiliza metodología de desarrollo de Proyectos informáticos.
• Exigente control interno de todas las fases antes nombradas.
• Seguridad de los programas, Hacen la función prevista
AUDITORIA INFORMATICA DE
SISTEMAS
• Analiza la "Técnica de Sistemas" en todas sus
facetas.
• Sistemas Operativos.
• Sistemas multimediales.
• Software de Teleproceso.
• Administración de Base de Datos.
• Investigación y Desarrollo.
• Algunas áreas por su naturaleza se independizan.
AUDITORIA INFORMATICA DE
COMUNICACIONES Y REDES
• Redes LAN, MAN, WAN
• Las Comunicaciones son el Soporte Físico-Lógico de la
Informática en Tiempo Real.
• Topología de la Red de Comunicaciones,
• Nùmero de líneas, cómo son y dónde están instaladas.
• Tipo de terminales, carga de la red, etc.
AUDITORIA DE LA SEGURIDAD
INFORMATICA
• Seguridad física y seguridad lógica.
• La Seguridad física se refiere a la protección del
Hardware y de los soportes de datos, así como los
edificios e instalaciones que los albergan.
• La seguridad lógica se refiere a la seguridad de
uso del software, a la protección de los datos,
procesos y programas, así como la del ordenado y
autorizado acceso de los usuarios a la
información.
• Elaboración de "Matrices de Riesgo“.
OBJETIVOS DE LA AI (1)
1) Optimizar el costo-beneficio de los sistemas.
2) Satisfacción de los usuarios de los sistemas.
3) Asegurar integridad, confidencialidad y
confiabilidad de la información mediante la
recomendación de seguridades y controles.
4) Conocer la situación actual del área informática y
las actividades y esfuerzos necesarios para lograr
los objetivos propuestos.
OBJETIVOS DE LA AI (2)
5) Seguridad de personal, datos, hardware, software
e instalaciones
6) Apoyo de función informática a las metas y
objetivos de la organización
7) Seguridad, utilidad, confianza, privacidad y
disponibilidad en el ambiente informático
8) Minimizar los riesgos en el uso de Tecnología
de información
9) Decisiones de inversión y gastos innecesarios
10) Capacitación y educación sobre controles en los
Sistemas de Información
Porqué realizar una AI?
1) Aumento en el presupuesto del Dpto de informática.
2) Desconocimiento de la situación informática.
3) Niveles de inseguridades lógicas y físicas.
4) Sospecha de fraudes informáticos.
5) Falta de una planificación informática
6) Organización que no funciona correctamente, falta de políticas,
objetivos, normas, metodología, asignación de tareas y
adecuada administración del Recurso Humano
7) Descontento general de los usuarios por incumplimiento de
plazos y mala calidad de los resultados
8) Falta de documentación o documentación incompleta de
sistemas que revela la dificultad de efectuar el mantenimiento
de los sistemas en producción
CONTROLES
Conjunto de disposiciones metódicas, diseñadas con el fin de
vigilar las funciones y actitudes de las empresas para verificar si
todo se realiza conforme a los programas adoptados, ordenes
impartidas y principios admitidos.
Clasificación de los controles
• Preventivos. Reducen la frecuencia con que ocurren las
causas del riesgo, permitiendo cierto margen de
violaciones. ("No fumar“, Sistemas de claves de acceso).
• Detectivos. Detectan los hechos después de ocurridos. .
Evalúan la eficiencia de los controles preventivos.
(Archivos y procesos que sirven como pistas de auditoria,
Procedimientos de validación)
• Correctivos. Ayudan a la investigación y corrección de las
causas del riesgo. Porqué ocurrió? Porqué no se detectó?
Qué medidas debo tomar?
Controles físicos (1)
• Autenticidad. Permiten verificar la identidad:
Passwords, Firmas digitales
• Exactitud. Aseguran la coherencia de los datos
Validación de campos, Validación de excesos
• Totalidad. Evitan la omisión de registros así como
garantizan la conclusión de un proceso de envío:
Conteo de registros, Cifras de control
• Redundancia. Evitan la duplicidad de datos:
Cancelación de lotes, Verificación de secuencias
Controles físicos (2)
• Privacidad: Aseguran la protección de los datos:
Compactación, Encriptación
• Existencia. Aseguran la disponibilidad de los datos:
Bitácora de estados, Mantenimiento de activos,
Protección de Activos, Destrucción o corrupción de
información o del hardware, Extintores
• Efectividad. Aseguran el logro de los objetivos: Encuestas
de satisfacción, Medición de niveles de servicio,
• Eficiencia. Aseguran el uso óptimo de los recursos:
Programas monitores,,Análisis costo-beneficio
Controles automáticos o
lógicos
• Periodicidad de cambio de claves de acceso
• Combinación de alfanuméricos en claves de
acceso
• Verificación de datos de entrada.
• Conteo de registros.
• Totales de Control.
• Verificación de límites.
• Verificación de secuencias.
• Dígito autoverificador.
Controles administrativos en
Informática
• Controles de Preinstalación
• Controles de Organización y Planificación
• Controles de Sistemas en Desarrollo y Producción
• Controles de Procesamiento
• Controles de Operación
• Controles de uso de Microcomputadores
Controles de
preinstalación(1)
Hacen referencia a procesos y actividades previas a la
adquisición e instalación de un equipo de computación y
obviamente a la automatización de los sistemas
existentes.
Objetivos:
* Garantizar que el hardware y software se adquieran siempre y
cuando tengan la seguridad de que los sistemas computarizados
proporcionaran mayores beneficios que cualquier otra alternativa.
* Garantizar la selección adecuada de equipos y sistemas de
computación
* Asegurar la elaboración de un plan de actividades previo a la
instalación
Acciones a seguir
• Elaboración de un informe técnico que se justifique la adquisición del
equipo, software y servicios de computación, incluyendo un estudio
costo-beneficio.
• Formación de un comité que coordine y se responsabilice de todo el
proceso de adquisición e instalación
• Elaborar un plan de instalación de equipo y software (fechas,
actividades, responsables) el mismo que debe contar con la
aprobación de los proveedores del equipo.
• Elaborar un instructivo con procedimientos a seguir para la selección
y adquisición de equipos, programas y servicios computacionales.
Este proceso debe enmarcarse en normas y disposiciones legales.
• Efectuar las acciones necesarias para una mayor participación de
proveedores.
• Asegurar respaldo de mantenimiento y asistencia técnica.
Controles de organización y
Planificación(1)
• Se refiere a la definición clara de funciones, línea
de autoridad y responsabilidad de las diferentes
unidades del área informática, en labores tales
como: Diseño del sistema, Programación,
Operación del sistema, Control de calidad.
• Se debe evitar que una misma persona tenga el
control de toda una operación. Es importante la
utilización óptima de recursos mediante la
preparación de planes a ser evaluados
continuamente
Acciones a seguir
• La unidad informática debe estar al mas alto nivel de la pirámide
administrativa.
• Deben existir mecanismos necesarios a fin de asegurar que los
programadores y analistas no tengan acceso a la operación del
computador y los operadores a su vez no conozcan la documentación
de programas y sistemas.
• Debe existir una unidad de control de calidad.
• El manejo y custodia de dispositivos y archivos magnéticos deben
estar expresamente definidos por escrito.
• Debe formularse el "Plan Maestro de Informática“ (PESI)
• Debe existir una participación efectiva de directivos, usuarios en la
planificación y evaluación del cumplimiento del plan.
• Las instrucciones deben impartirse por escrito.
Controles de Sistema en
Desarrollo y Producción(1)
• Se debe justificar que los sistemas han sido la mejor opción
para la empresa, bajo una relación costo-beneficio que
proporcionen oportuna y efectiva información, que los sistemas
se han desarrollado bajo un proceso planificado y se
encuentren debidamente documentados.
Acciones a seguir
• Equipo de trabajo: usuarios, personal de auditoría
interna/control, especialistas.
• El desarrollo, diseño y mantenimiento de sistemas
obedece a un plan estratégico.
• Documentación de fases con actas de
conclusión/recepción.
• Prueba de programas.
• Documentación de sistemas: informes, diagramas,
objetivos de los programas, fuentes, formatos de
entrada/salida.
• Procesos de contingencia.
Controles de Procesamiento(1)
Los controles de procesamiento se refieren al ciclo
que sigue la información desde la entrada hasta la
salida de la información, lo que conlleva al
establecimiento de una serie de seguridades para:
– Asegurar que todos los datos sean procesados
– Garantizar la exactitud de los datos procesados
– Garantizar que se grabe un archivo para uso de la
gerencia y con fines de auditoria
– Asegurar que los resultados sean entregados a los
usuarios en forma oportuna y en las mejores
condiciones.
Acciones a seguir
• Preparación y validación de datos de entrada previo
procesamiento debe ser realizada en forma automática:
clave, dígito autoverificador, totales de lotes, etc.
• Procesos de corrección de errores.
• Estandarización de formularios, fuente para agilitar la
captura de datos y minimizar errores.
• Los procesos interactivos deben garantizar una adecuada
interrelación entre usuario y sistema.
• Planificar el mantenimiento del hardware y software,
tomando todas las seguridades para garantizar la
integridad de la información y el buen servicio a usuarios.
Controles de Operación
• Abarcan el ambiente de la operación del equipo y
dispositivos de almacenamiento, la operación de
terminales y equipos de comunicación.
• Los controles tienen como fin:
– Prevenir o detectar errores accidentales que puedan
ocurrir en el Centro de Cómputo durante un proceso
– Evitar o detectar el manejo de datos con fines
fraudulentos por parte de funcionarios del PAD
– Garantizar la integridad de los recursos informáticos.
– Asegurar la utilización adecuada de equipos acorde a
planes y objetivos, Recursos Informáticos
Acciones a seguir(1)
El acceso al centro de computo solo personal autorizado.
Ingreso a equipos con claves
Políticas de seguridad, privacidad y protección de los
recursos informáticos frente a: incendio, vandalismo, robo
y uso indebido, intentos de violación y como responder
ante esos eventos.
Llevar una bitácora de todos los procesos realizados, dejando
constancia de suspensiones o cancelaciones.
Procesos de recuperación o restauración de información.
Todas las actividades del Centro de Computo deben
normarse mediante manuales, instructivos, normas,
reglamentos, etc.
Acciones a seguir(2)
El proveedor de hardware y software deberá proporcionar lo siguiente:
– Manual de operación de equipos
– Manual de lenguaje de programación
– Manual de utilitarios disponibles
– Manual de Sistemas operativos
Las instalaciones deben contar con sistema de alarma por presencia de
fuego, humo, asi como extintores de incendio, conexiones eléctricas
seguras, entre otras.
Instalar equipos que protejan la información y los dispositivos en caso de
variación de voltaje como: reguladores de voltaje, supresores pico,
UPS, generadores de energía.
Contratar pólizas de seguros para proteger la información, equipos,
personal y todo riesgo que se produzca por casos fortuitos o mala
operación.
Controles en el uso del
Microcomputador
• Es la tarea mas difícil pues son equipos vulnerables, de fácil
acceso, de fácil explotación pero los controles que se implanten
ayudaran a garantizar la integridad y confidencialidad de la
información.
Acciones a seguir
• Adquisición de equipos de protección: supresores de pico,
reguladores de voltaje y UPS
• Vencida la garantía de mantenimiento del proveedor se debe
contratar mantenimiento preventivo y correctivo.
• Establecer procedimientos para obtención de backups de paquetes y
de archivos de datos.
• Revisión periódica y sorpresiva del contenido del disco para verificar
la instalación de aplicaciones no relacionadas a la gestión de la
empresa.
• Mantener programas y procedimientos de detección e inmunización
de virus en copias no autorizadas o datos procesados en otros
equipos.
• Propender a la estandarización del Sistema Operativo, software
utilizado como procesadores de palabras, hojas electrónicas,
manejadores de base de datos y mantener actualizadas las versiones
y la capacitación sobre modificaciones incluidas.

Más contenido relacionado

La actualidad más candente

Cuestionario
CuestionarioCuestionario
Cuestionario
luismrl30
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
Paola Yèpez
 
Fases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasFases de la Auditoría en Sistemas
Fases de la Auditoría en Sistemas
Barbara brice?
 
Metodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaMetodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informatica
Carlos R. Adames B.
 
Programas de auditoria
Programas de auditoriaProgramas de auditoria
Programas de auditoria
yemixxx
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de información
vryancceall
 

La actualidad más candente (20)

Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
 
AUDITORIA INFORMÁTICA
AUDITORIA INFORMÁTICAAUDITORIA INFORMÁTICA
AUDITORIA INFORMÁTICA
 
Módulo 3 el proceso de auditoria
Módulo 3 el proceso de auditoriaMódulo 3 el proceso de auditoria
Módulo 3 el proceso de auditoria
 
Cuestionario
CuestionarioCuestionario
Cuestionario
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - Introducción
 
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria Informatica
 
8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informatica
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informático
 
Fases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasFases de la Auditoría en Sistemas
Fases de la Auditoría en Sistemas
 
Metodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaMetodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informatica
 
Programas de auditoria
Programas de auditoriaProgramas de auditoria
Programas de auditoria
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
NIA 330, 402,450
NIA 330, 402,450NIA 330, 402,450
NIA 330, 402,450
 
FUNDAMENTOS DE AUDITORIA DE SISTEMAS
FUNDAMENTOS DE AUDITORIA DE SISTEMASFUNDAMENTOS DE AUDITORIA DE SISTEMAS
FUNDAMENTOS DE AUDITORIA DE SISTEMAS
 
Auditoria Sistemas
Auditoria SistemasAuditoria Sistemas
Auditoria Sistemas
 
Tipos de auditorías y conceptos básicos
Tipos de auditorías y conceptos básicosTipos de auditorías y conceptos básicos
Tipos de auditorías y conceptos básicos
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de información
 

Destacado

Präsentation Seniorenpark Sandler, November 2013
Präsentation Seniorenpark Sandler, November 2013Präsentation Seniorenpark Sandler, November 2013
Präsentation Seniorenpark Sandler, November 2013
Unternehmensgruppe SeniVita
 
Das Ende! ... und dann?
Das Ende! ... und dann?Das Ende! ... und dann?
Das Ende! ... und dann?
Doru Tarita
 
مخطوطة للمصحف من سورة ص إلى الطور ترجع لعام 749هـ
مخطوطة للمصحف من سورة ص إلى الطور ترجع لعام 749هـمخطوطة للمصحف من سورة ص إلى الطور ترجع لعام 749هـ
مخطوطة للمصحف من سورة ص إلى الطور ترجع لعام 749هـ
سمير بسيوني
 
Guide Ademe - Isoler son logement - Novembre 2013
Guide Ademe - Isoler son logement - Novembre 2013Guide Ademe - Isoler son logement - Novembre 2013
Guide Ademe - Isoler son logement - Novembre 2013
KS Services 13
 
Marketing für DJs - Erfolgsfaktoren von lokalen Musikauflegern
Marketing für DJs - Erfolgsfaktoren von lokalen MusikauflegernMarketing für DJs - Erfolgsfaktoren von lokalen Musikauflegern
Marketing für DJs - Erfolgsfaktoren von lokalen Musikauflegern
Matthias Vrieler
 
Startup factory- 2014
Startup factory- 2014Startup factory- 2014
Startup factory- 2014
OlivierTIZIO
 
De l enquête à la réforme
De l enquête à la réformeDe l enquête à la réforme
De l enquête à la réforme
emilieisis
 
Gefährten redaktionshemen 2013 08-05
Gefährten redaktionshemen 2013 08-05Gefährten redaktionshemen 2013 08-05
Gefährten redaktionshemen 2013 08-05
Andreas Kuenne
 

Destacado (20)

Präsentation Seniorenpark Sandler, November 2013
Präsentation Seniorenpark Sandler, November 2013Präsentation Seniorenpark Sandler, November 2013
Präsentation Seniorenpark Sandler, November 2013
 
Vie à lasne de septembre 2014 partie 2 de 2 - site
Vie à lasne de septembre 2014   partie 2 de 2 - siteVie à lasne de septembre 2014   partie 2 de 2 - site
Vie à lasne de septembre 2014 partie 2 de 2 - site
 
Présentation1
Présentation1Présentation1
Présentation1
 
Présentation1
Présentation1Présentation1
Présentation1
 
Das Ende! ... und dann?
Das Ende! ... und dann?Das Ende! ... und dann?
Das Ende! ... und dann?
 
Métier catic
Métier caticMétier catic
Métier catic
 
9ème Forum des parties prenantes sur les Chaînes d’approvisionnement responsa...
9ème Forum des parties prenantes sur les Chaînes d’approvisionnement responsa...9ème Forum des parties prenantes sur les Chaînes d’approvisionnement responsa...
9ème Forum des parties prenantes sur les Chaînes d’approvisionnement responsa...
 
مخطوطة للمصحف من سورة ص إلى الطور ترجع لعام 749هـ
مخطوطة للمصحف من سورة ص إلى الطور ترجع لعام 749هـمخطوطة للمصحف من سورة ص إلى الطور ترجع لعام 749هـ
مخطوطة للمصحف من سورة ص إلى الطور ترجع لعام 749هـ
 
Bessere Dashboards
Bessere DashboardsBessere Dashboards
Bessere Dashboards
 
Die Experton Big Data Studie und Splunk
Die Experton Big Data Studie und SplunkDie Experton Big Data Studie und Splunk
Die Experton Big Data Studie und Splunk
 
Guide Ademe - Isoler son logement - Novembre 2013
Guide Ademe - Isoler son logement - Novembre 2013Guide Ademe - Isoler son logement - Novembre 2013
Guide Ademe - Isoler son logement - Novembre 2013
 
Metier catic
Metier caticMetier catic
Metier catic
 
Entre les expatriés et les genevois, un mur invisible
Entre les expatriés et les genevois, un mur invisibleEntre les expatriés et les genevois, un mur invisible
Entre les expatriés et les genevois, un mur invisible
 
Marketing für DJs - Erfolgsfaktoren von lokalen Musikauflegern
Marketing für DJs - Erfolgsfaktoren von lokalen MusikauflegernMarketing für DJs - Erfolgsfaktoren von lokalen Musikauflegern
Marketing für DJs - Erfolgsfaktoren von lokalen Musikauflegern
 
Startup factory- 2014
Startup factory- 2014Startup factory- 2014
Startup factory- 2014
 
Dossier de production
Dossier de productionDossier de production
Dossier de production
 
De l enquête à la réforme
De l enquête à la réformeDe l enquête à la réforme
De l enquête à la réforme
 
Les Chiffres clés de l'internet
Les Chiffres clés de l'internetLes Chiffres clés de l'internet
Les Chiffres clés de l'internet
 
Patience.
Patience. Patience.
Patience.
 
Gefährten redaktionshemen 2013 08-05
Gefährten redaktionshemen 2013 08-05Gefährten redaktionshemen 2013 08-05
Gefährten redaktionshemen 2013 08-05
 

Similar a Auditoria y control informaticos

Control interno informático
Control interno informáticoControl interno informático
Control interno informático
Juan Moreno
 
Impacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaImpacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoría
Lion Mendz
 
Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemas
carloscv
 
Informes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesInformes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionales
Liliana Nieto
 
Mag parte viii auditoria informatica (1)
Mag parte viii   auditoria informatica (1)Mag parte viii   auditoria informatica (1)
Mag parte viii auditoria informatica (1)
joselynf
 
3 elementos del control intern
3 elementos del control intern3 elementos del control intern
3 elementos del control intern
Anita's Mendez
 
3 elementos del control intern
3 elementos del control intern3 elementos del control intern
3 elementos del control intern
daysiGallegos
 
3 elementos del control intern
3 elementos del control intern3 elementos del control intern
3 elementos del control intern
Anita's Mendez
 
Controlinterno relacionadoconla informacion
Controlinterno relacionadoconla informacionControlinterno relacionadoconla informacion
Controlinterno relacionadoconla informacion
Christian L
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1   control interno y auditoría de sistemas de informaciónClase 1   control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de información
edithua
 
Auditoria de Sistemas
Auditoria de Sistemas Auditoria de Sistemas
Auditoria de Sistemas
Michelle Perez
 

Similar a Auditoria y control informaticos (20)

Control interno informático
Control interno informáticoControl interno informático
Control interno informático
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria informática copia
Auditoria informática   copiaAuditoria informática   copia
Auditoria informática copia
 
Impacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaImpacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoría
 
Unidad II
Unidad IIUnidad II
Unidad II
 
03 objetivosplanprograma
03 objetivosplanprograma03 objetivosplanprograma
03 objetivosplanprograma
 
Anchali2
Anchali2Anchali2
Anchali2
 
Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemas
 
Auditoria de sistemas instalados .
Auditoria de sistemas instalados .Auditoria de sistemas instalados .
Auditoria de sistemas instalados .
 
Informes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesInformes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionales
 
Mag parte viii auditoria informatica
Mag parte viii   auditoria informaticaMag parte viii   auditoria informatica
Mag parte viii auditoria informatica
 
Mag parte viii auditoria informatica (1)
Mag parte viii   auditoria informatica (1)Mag parte viii   auditoria informatica (1)
Mag parte viii auditoria informatica (1)
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases
 
AUDITORIA DE LAS TICS
AUDITORIA DE LAS TICSAUDITORIA DE LAS TICS
AUDITORIA DE LAS TICS
 
3 elementos del control intern
3 elementos del control intern3 elementos del control intern
3 elementos del control intern
 
3 elementos del control intern
3 elementos del control intern3 elementos del control intern
3 elementos del control intern
 
3 elementos del control intern
3 elementos del control intern3 elementos del control intern
3 elementos del control intern
 
Controlinterno relacionadoconla informacion
Controlinterno relacionadoconla informacionControlinterno relacionadoconla informacion
Controlinterno relacionadoconla informacion
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1   control interno y auditoría de sistemas de informaciónClase 1   control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de información
 
Auditoria de Sistemas
Auditoria de Sistemas Auditoria de Sistemas
Auditoria de Sistemas
 

Último

Presentación de medicina Enfermedades Fotográfico Moderno Morado (1).pdf
Presentación de medicina Enfermedades Fotográfico Moderno Morado (1).pdfPresentación de medicina Enfermedades Fotográfico Moderno Morado (1).pdf
Presentación de medicina Enfermedades Fotográfico Moderno Morado (1).pdf
juancmendez1405
 
Profecia 2300 dias explicada, Daniel 8:14
Profecia 2300 dias explicada, Daniel 8:14Profecia 2300 dias explicada, Daniel 8:14
Profecia 2300 dias explicada, Daniel 8:14
KevinBuenrostro4
 

Último (20)

DESCRIPCIÓN-LOS-DILEMAS-DEL-CONOCIMIENTO.pptx
DESCRIPCIÓN-LOS-DILEMAS-DEL-CONOCIMIENTO.pptxDESCRIPCIÓN-LOS-DILEMAS-DEL-CONOCIMIENTO.pptx
DESCRIPCIÓN-LOS-DILEMAS-DEL-CONOCIMIENTO.pptx
 
LA ILIADA Y LA ODISEA.LITERATURA UNIVERSAL
LA ILIADA Y LA ODISEA.LITERATURA UNIVERSALLA ILIADA Y LA ODISEA.LITERATURA UNIVERSAL
LA ILIADA Y LA ODISEA.LITERATURA UNIVERSAL
 
La historia de la vida estudiantil a 102 años de la fundación de las Normales...
La historia de la vida estudiantil a 102 años de la fundación de las Normales...La historia de la vida estudiantil a 102 años de la fundación de las Normales...
La historia de la vida estudiantil a 102 años de la fundación de las Normales...
 
LA GEOMETRÍA Y LOS SISTEMAS ANGULARES, APRENDER LEYENDO LA BIBLIA
LA GEOMETRÍA Y LOS SISTEMAS ANGULARES, APRENDER LEYENDO LA BIBLIALA GEOMETRÍA Y LOS SISTEMAS ANGULARES, APRENDER LEYENDO LA BIBLIA
LA GEOMETRÍA Y LOS SISTEMAS ANGULARES, APRENDER LEYENDO LA BIBLIA
 
Presentación de medicina Enfermedades Fotográfico Moderno Morado (1).pdf
Presentación de medicina Enfermedades Fotográfico Moderno Morado (1).pdfPresentación de medicina Enfermedades Fotográfico Moderno Morado (1).pdf
Presentación de medicina Enfermedades Fotográfico Moderno Morado (1).pdf
 
Tema 8 Estructura y composición de la Tierra 2024
Tema 8 Estructura y composición de la Tierra 2024Tema 8 Estructura y composición de la Tierra 2024
Tema 8 Estructura y composición de la Tierra 2024
 
TERCER GRADO PROGRAMACION ANUAL CCSS 3° - 2024.docx
TERCER GRADO PROGRAMACION ANUAL CCSS 3° - 2024.docxTERCER GRADO PROGRAMACION ANUAL CCSS 3° - 2024.docx
TERCER GRADO PROGRAMACION ANUAL CCSS 3° - 2024.docx
 
Análisis de la situación actual .La Matriz de Perfil Competitivo (MPC)
Análisis de la situación actual .La Matriz de Perfil Competitivo (MPC)Análisis de la situación actual .La Matriz de Perfil Competitivo (MPC)
Análisis de la situación actual .La Matriz de Perfil Competitivo (MPC)
 
2. Entornos Virtuales de Aprendizaje.pptx
2. Entornos Virtuales de Aprendizaje.pptx2. Entornos Virtuales de Aprendizaje.pptx
2. Entornos Virtuales de Aprendizaje.pptx
 
Tipologías de vínculos afectivos (grupo)
Tipologías de vínculos afectivos (grupo)Tipologías de vínculos afectivos (grupo)
Tipologías de vínculos afectivos (grupo)
 
PLAN DE GESTION DEL RIESGO 2023 - 2024.docx
PLAN DE GESTION DEL RIESGO  2023 - 2024.docxPLAN DE GESTION DEL RIESGO  2023 - 2024.docx
PLAN DE GESTION DEL RIESGO 2023 - 2024.docx
 
Lección 1: Los complementos del Verbo ...
Lección 1: Los complementos del Verbo ...Lección 1: Los complementos del Verbo ...
Lección 1: Los complementos del Verbo ...
 
CONCLUSIONES DESCRIPTIVAS TIC que ayudaran a tus registrosdocx
CONCLUSIONES DESCRIPTIVAS TIC que ayudaran a tus registrosdocxCONCLUSIONES DESCRIPTIVAS TIC que ayudaran a tus registrosdocx
CONCLUSIONES DESCRIPTIVAS TIC que ayudaran a tus registrosdocx
 
Power Point: Luz desde el santuario.pptx
Power Point: Luz desde el santuario.pptxPower Point: Luz desde el santuario.pptx
Power Point: Luz desde el santuario.pptx
 
Como construir los vínculos afectivos (Grupal)
Como construir los vínculos afectivos (Grupal)Como construir los vínculos afectivos (Grupal)
Como construir los vínculos afectivos (Grupal)
 
Evaluación de los Factores Internos de la Organización
Evaluación de los Factores Internos de la OrganizaciónEvaluación de los Factores Internos de la Organización
Evaluación de los Factores Internos de la Organización
 
📝 Semana 09 - Tema 01: Tarea - Redacción del texto argumentativo
📝 Semana 09 - Tema 01: Tarea - Redacción del texto argumentativo📝 Semana 09 - Tema 01: Tarea - Redacción del texto argumentativo
📝 Semana 09 - Tema 01: Tarea - Redacción del texto argumentativo
 
Profecia 2300 dias explicada, Daniel 8:14
Profecia 2300 dias explicada, Daniel 8:14Profecia 2300 dias explicada, Daniel 8:14
Profecia 2300 dias explicada, Daniel 8:14
 
5º PARTE 3 SOY LECTOR -MD EDUCATIVO_240418_155445 (1).pdf
5º PARTE 3 SOY LECTOR -MD EDUCATIVO_240418_155445 (1).pdf5º PARTE 3 SOY LECTOR -MD EDUCATIVO_240418_155445 (1).pdf
5º PARTE 3 SOY LECTOR -MD EDUCATIVO_240418_155445 (1).pdf
 
ESTEREOTIPOS DE GÉNERO A LAS PERSONAS? (Grupo)
ESTEREOTIPOS DE GÉNERO A LAS PERSONAS? (Grupo)ESTEREOTIPOS DE GÉNERO A LAS PERSONAS? (Grupo)
ESTEREOTIPOS DE GÉNERO A LAS PERSONAS? (Grupo)
 

Auditoria y control informaticos

  • 2. CONCEPTO DE AUDITORIA DE SISTEMAS (1) • Auditorius  Auditoría • Auditor  tiene la virtud de oir y revisar cuentas. • Evaluar la eficiencia y eficacia con que se está operando • Señalar alternativas de acción para corregir errores ó mejorar la forma de actuación. • Revisión, evaluación y elaboración de un informe para el ejecutivo encaminado a un objetivo específico en el ambiente computacional y los sistemas.
  • 3. CONCEPTO DE AUDITORIA DE SISTEMAS (2) 1. Verificar de qué manera se están aplicando los controles en el área de actuación de la Informática. 2. Examen y evaluación de los procesos y del uso de los recursos que en ellos intervienen, determinado el grado de eficiencia, efectividad y economía de los sistemas de la empresa, presentando conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorar los procesos.
  • 4. CONCEPTO DE AUDITORIA DE SISTEMAS (3) Proceso de recolección y evaluación de evidencia para: * Determinar daños, Salvaguardar activos. * Evitar destrucción de datos, uso no autorizado, robos. * Mantener Integridad de Información, Presentar datos completos, oportunos, confiables. * Alcanzar metas organizacionales,Contribución de la función informática.
  • 5. CONCEPTO DE AUDITORIA DE SISTEMAS (4) Es el examen o revisión de carácter objetivo (independiente), crítico(evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados, con el fin de emitir una opinión profesional (imparcial) con respecto a: a) Eficiencia en el uso de los recursos informáticos b) Validez de la información c) Efectividad de los controles establecidos
  • 6. TIPOS DE AUDITORIA • Financiera. Veracidad de los estados financieros, prácticas y principios contables. • Tributaria. Observa el cumplimiento del código tributario. • Gestión. Analiza logros del proceso administrativo, funciones, métodos, etc. • Sistemas. Relativo a la función informática. • Ambiental, Gubernamental, etc.
  • 7. Tipos de auditoria de sistemas • Desarrollo de sistemas. • Operación. • Bases de datos. • Ofimática. • Comunicaciones y Redes. • Seguridad física y lógica.
  • 8. AUDITORIA DE LA OPERACION INFORMATICA • La Operación Informática se ocupa de producir resultados informáticos de todo tipo: reportes, bases de datos, procesamiento de documento, etc. – Control de entrada de datos – Planificación y Recepción de Aplicaciones – Centro de Control y Seguimiento de Trabajos – Operadores de Centros de Cómputos – Centro de Control de Red y Centro de Diagnosis
  • 9. AUDITORIA DE DESARROLLO DE PROYECTOS • Ciclo de vida de los sistemas • Se utiliza metodología de desarrollo de Proyectos informáticos. • Exigente control interno de todas las fases antes nombradas. • Seguridad de los programas, Hacen la función prevista
  • 10. AUDITORIA INFORMATICA DE SISTEMAS • Analiza la "Técnica de Sistemas" en todas sus facetas. • Sistemas Operativos. • Sistemas multimediales. • Software de Teleproceso. • Administración de Base de Datos. • Investigación y Desarrollo. • Algunas áreas por su naturaleza se independizan.
  • 11. AUDITORIA INFORMATICA DE COMUNICACIONES Y REDES • Redes LAN, MAN, WAN • Las Comunicaciones son el Soporte Físico-Lógico de la Informática en Tiempo Real. • Topología de la Red de Comunicaciones, • Nùmero de líneas, cómo son y dónde están instaladas. • Tipo de terminales, carga de la red, etc.
  • 12. AUDITORIA DE LA SEGURIDAD INFORMATICA • Seguridad física y seguridad lógica. • La Seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como los edificios e instalaciones que los albergan. • La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información. • Elaboración de "Matrices de Riesgo“.
  • 13. OBJETIVOS DE LA AI (1) 1) Optimizar el costo-beneficio de los sistemas. 2) Satisfacción de los usuarios de los sistemas. 3) Asegurar integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles. 4) Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
  • 14. OBJETIVOS DE LA AI (2) 5) Seguridad de personal, datos, hardware, software e instalaciones 6) Apoyo de función informática a las metas y objetivos de la organización 7) Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático 8) Minimizar los riesgos en el uso de Tecnología de información 9) Decisiones de inversión y gastos innecesarios 10) Capacitación y educación sobre controles en los Sistemas de Información
  • 15. Porqué realizar una AI? 1) Aumento en el presupuesto del Dpto de informática. 2) Desconocimiento de la situación informática. 3) Niveles de inseguridades lógicas y físicas. 4) Sospecha de fraudes informáticos. 5) Falta de una planificación informática 6) Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano 7) Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados 8) Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción
  • 16. CONTROLES Conjunto de disposiciones metódicas, diseñadas con el fin de vigilar las funciones y actitudes de las empresas para verificar si todo se realiza conforme a los programas adoptados, ordenes impartidas y principios admitidos.
  • 17. Clasificación de los controles • Preventivos. Reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones. ("No fumar“, Sistemas de claves de acceso). • Detectivos. Detectan los hechos después de ocurridos. . Evalúan la eficiencia de los controles preventivos. (Archivos y procesos que sirven como pistas de auditoria, Procedimientos de validación) • Correctivos. Ayudan a la investigación y corrección de las causas del riesgo. Porqué ocurrió? Porqué no se detectó? Qué medidas debo tomar?
  • 18. Controles físicos (1) • Autenticidad. Permiten verificar la identidad: Passwords, Firmas digitales • Exactitud. Aseguran la coherencia de los datos Validación de campos, Validación de excesos • Totalidad. Evitan la omisión de registros así como garantizan la conclusión de un proceso de envío: Conteo de registros, Cifras de control • Redundancia. Evitan la duplicidad de datos: Cancelación de lotes, Verificación de secuencias
  • 19. Controles físicos (2) • Privacidad: Aseguran la protección de los datos: Compactación, Encriptación • Existencia. Aseguran la disponibilidad de los datos: Bitácora de estados, Mantenimiento de activos, Protección de Activos, Destrucción o corrupción de información o del hardware, Extintores • Efectividad. Aseguran el logro de los objetivos: Encuestas de satisfacción, Medición de niveles de servicio, • Eficiencia. Aseguran el uso óptimo de los recursos: Programas monitores,,Análisis costo-beneficio
  • 20. Controles automáticos o lógicos • Periodicidad de cambio de claves de acceso • Combinación de alfanuméricos en claves de acceso • Verificación de datos de entrada. • Conteo de registros. • Totales de Control. • Verificación de límites. • Verificación de secuencias. • Dígito autoverificador.
  • 21. Controles administrativos en Informática • Controles de Preinstalación • Controles de Organización y Planificación • Controles de Sistemas en Desarrollo y Producción • Controles de Procesamiento • Controles de Operación • Controles de uso de Microcomputadores
  • 22. Controles de preinstalación(1) Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes. Objetivos: * Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa. * Garantizar la selección adecuada de equipos y sistemas de computación * Asegurar la elaboración de un plan de actividades previo a la instalación
  • 23. Acciones a seguir • Elaboración de un informe técnico que se justifique la adquisición del equipo, software y servicios de computación, incluyendo un estudio costo-beneficio. • Formación de un comité que coordine y se responsabilice de todo el proceso de adquisición e instalación • Elaborar un plan de instalación de equipo y software (fechas, actividades, responsables) el mismo que debe contar con la aprobación de los proveedores del equipo. • Elaborar un instructivo con procedimientos a seguir para la selección y adquisición de equipos, programas y servicios computacionales. Este proceso debe enmarcarse en normas y disposiciones legales. • Efectuar las acciones necesarias para una mayor participación de proveedores. • Asegurar respaldo de mantenimiento y asistencia técnica.
  • 24. Controles de organización y Planificación(1) • Se refiere a la definición clara de funciones, línea de autoridad y responsabilidad de las diferentes unidades del área informática, en labores tales como: Diseño del sistema, Programación, Operación del sistema, Control de calidad. • Se debe evitar que una misma persona tenga el control de toda una operación. Es importante la utilización óptima de recursos mediante la preparación de planes a ser evaluados continuamente
  • 25. Acciones a seguir • La unidad informática debe estar al mas alto nivel de la pirámide administrativa. • Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operación del computador y los operadores a su vez no conozcan la documentación de programas y sistemas. • Debe existir una unidad de control de calidad. • El manejo y custodia de dispositivos y archivos magnéticos deben estar expresamente definidos por escrito. • Debe formularse el "Plan Maestro de Informática“ (PESI) • Debe existir una participación efectiva de directivos, usuarios en la planificación y evaluación del cumplimiento del plan. • Las instrucciones deben impartirse por escrito.
  • 26. Controles de Sistema en Desarrollo y Producción(1) • Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo una relación costo-beneficio que proporcionen oportuna y efectiva información, que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados.
  • 27. Acciones a seguir • Equipo de trabajo: usuarios, personal de auditoría interna/control, especialistas. • El desarrollo, diseño y mantenimiento de sistemas obedece a un plan estratégico. • Documentación de fases con actas de conclusión/recepción. • Prueba de programas. • Documentación de sistemas: informes, diagramas, objetivos de los programas, fuentes, formatos de entrada/salida. • Procesos de contingencia.
  • 28. Controles de Procesamiento(1) Los controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta la salida de la información, lo que conlleva al establecimiento de una serie de seguridades para: – Asegurar que todos los datos sean procesados – Garantizar la exactitud de los datos procesados – Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoria – Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.
  • 29. Acciones a seguir • Preparación y validación de datos de entrada previo procesamiento debe ser realizada en forma automática: clave, dígito autoverificador, totales de lotes, etc. • Procesos de corrección de errores. • Estandarización de formularios, fuente para agilitar la captura de datos y minimizar errores. • Los procesos interactivos deben garantizar una adecuada interrelación entre usuario y sistema. • Planificar el mantenimiento del hardware y software, tomando todas las seguridades para garantizar la integridad de la información y el buen servicio a usuarios.
  • 30. Controles de Operación • Abarcan el ambiente de la operación del equipo y dispositivos de almacenamiento, la operación de terminales y equipos de comunicación. • Los controles tienen como fin: – Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un proceso – Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD – Garantizar la integridad de los recursos informáticos. – Asegurar la utilización adecuada de equipos acorde a planes y objetivos, Recursos Informáticos
  • 31. Acciones a seguir(1) El acceso al centro de computo solo personal autorizado. Ingreso a equipos con claves Políticas de seguridad, privacidad y protección de los recursos informáticos frente a: incendio, vandalismo, robo y uso indebido, intentos de violación y como responder ante esos eventos. Llevar una bitácora de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones. Procesos de recuperación o restauración de información. Todas las actividades del Centro de Computo deben normarse mediante manuales, instructivos, normas, reglamentos, etc.
  • 32. Acciones a seguir(2) El proveedor de hardware y software deberá proporcionar lo siguiente: – Manual de operación de equipos – Manual de lenguaje de programación – Manual de utilitarios disponibles – Manual de Sistemas operativos Las instalaciones deben contar con sistema de alarma por presencia de fuego, humo, asi como extintores de incendio, conexiones eléctricas seguras, entre otras. Instalar equipos que protejan la información y los dispositivos en caso de variación de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energía. Contratar pólizas de seguros para proteger la información, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operación.
  • 33. Controles en el uso del Microcomputador • Es la tarea mas difícil pues son equipos vulnerables, de fácil acceso, de fácil explotación pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la información.
  • 34. Acciones a seguir • Adquisición de equipos de protección: supresores de pico, reguladores de voltaje y UPS • Vencida la garantía de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo. • Establecer procedimientos para obtención de backups de paquetes y de archivos de datos. • Revisión periódica y sorpresiva del contenido del disco para verificar la instalación de aplicaciones no relacionadas a la gestión de la empresa. • Mantener programas y procedimientos de detección e inmunización de virus en copias no autorizadas o datos procesados en otros equipos. • Propender a la estandarización del Sistema Operativo, software utilizado como procesadores de palabras, hojas electrónicas, manejadores de base de datos y mantener actualizadas las versiones y la capacitación sobre modificaciones incluidas.