Upload
rodrigonix
View
124
Download
1
Embed Size (px)
Citation preview
Auditoría Informática
El notorio incremento en el uso de computadores para procesar la información acaecido en los últimos cuarenta años, ha determinado que, con el propósito de conseguir los objetivos que la administración se propone, deben existir sistemas de control interno adecuados para asegurar la integridad de dicha información.
Auditoría Informática
Control InternoLa administración es responsable por
establecer, diseñar y mantener controles y procedimientos internos adecuados para alcanzar los objetivos organizacionales.
Auditoría Informática
Control Interno Controles y procedimientos Las transacciones están
adecuadamente autorizadas Los activos están adecuadamente
protegidos contra uso no autorizado o inadecuado
Que las transacciones estén adecuadamente registradas
Auditoría Informática
El Auditor de Sistemas debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores en caso de que existan, o bien mejorar la forma de actuación.
Auditoría Informática
Revisión, evaluación y elaboración de un informe dirigido al nivel ejecutivo encaminado a un objetivo específico en el ambiente computacional y los sistemas.
Auditoría Informática
algunos conceptos y tareas : Verificación de controles en el procesamiento de la
información y en el desarrollo de los sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.
Examen y evaluación de los procesos del Area de Procesamiento de Datos y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.
Auditoría Informática
Proceso de recolección y evaluación de evidencia encaminada a determinar si un sistema automatizado permite:
Salvaguarda activos (Daños, DestrucciónUso no Autorizado, Robo)
Mantiene Integridad (Información Precisa, Completa, Oportuna y Confiable)
Alcanza metas organizacionales (Contribución de función informática)
Consume recursos eficientemente (Consume recursos adecuadamente en el procesamiento de la información.
Auditoría Informática
AUDITORÍA A SISTEMAS DE INFORMACIÓN
Emitir una opinión respecto del nivel de riesgo presente en un Sistema de Información Computacional, considerando los controles internos generales y específicos establecidos en el mismo para resguardar la calidad de la información y asegurar su correcta captura, procesamiento y entrega
Auditoría Informática
Es el examen o revisión de carácter objetivo (independiente), crítico (evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los Sistemas de Información Computarizados, con el fin de emitir una opinión profesional (imparcial) con respecto a: Eficiencia en el uso de los recursos informáticos Validez de la información Efectividad de los controles establecidos.
Auditoría Informática
AUDITORÍA A PLATAFORMAS TECNOLÓGICAS
Emitir una opinión respecto del nivel de riesgo presente en una Plataforma Tecnológica (infraestructura y servicios básicos de TI).
Host (IBM, TANDEM) Infraestructura de Redes y Comunicaciones Centrales de Telefonía Servidores Sistemas Operativos asociados (Microsoft-No
Microsoft) Otras aplicaciones de más bajo nivel o
propietarias (Microsoft-No Microsoft).
Auditoría Informática
ProcesoConjunto de recursos y actividades interrelacionados que transforman elementos de entrada en elementos de salida, que cumplen un objetivo completo y agregan valor para el cliente.
INAct 1 Act.2 Act.4 OUT
Act.3 Act. 5IN
Auditoría Informática
Mapa de Procesos Es una representación de todos los procesos de una organización.
Niveles de Proceso Macroprocesos: Proceso de alto nivel, que se visualiza en la cadena de
valor de una organización. Cadenas de Valor del Proceso: Es la representación de un proceso,
con las principales etapas de mismo, se considera los eventos "gatilladores" del proceso y los resultados.
Flujo de Actividades: Es la representación real de un proceso conceptual. Considera también los roles y aplicaciones del proceso.
Flujo de Tareas: Es la representación del detalle de una actividad en las tareas o pasos requeridos para su ejecución por un rol.
Descripción de Actividades o Tareas: Es la descripción detallada de cómo se realiza una actividad o una tarea.
Auditoría Informática
Objetivos Generales de la Auditoría de Sistemas Buscar una mejor relación costo-beneficio de los
sistemas automáticos o computarizados diseñados e implantados.
Incrementar la satisfacción de los usuarios de los sistemas computarizados
Asegurar una mayor integridad, confidencialidad y confiabilidad (Seguridad) de la información mediante recomendaciones y controles.
Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
Seguridad de personal, datos, hardware, software e instalaciones.
Auditoría Informática continuación…
Apoyo de la función informática a las metas y objetivos de la organización
Minimizar existencias de riesgos en el uso de Tecnología de información
Decisiones de inversión y gastos innecesarios
Capacitación y educación sobre controles en los Sistemas de Información.
Código de Conducta de la ISACA Los auditores deberán:
Actuar en interés de sus accionistas, empleadores, clientes y público en general en forma diligente, leal y honesta, y no contribuir a sabiendas en actividades ilícitas o incorrectas.
Mantener la confidencialidad de la información obtenida durante sus deberes. La información no deberá ser utilizada en beneficio propio o divulgada a terceros no legitimados.
Auditoría Informática
Código de Conducta de la ISACA (Continuación…)
Los auditores deberán: Ejercer sumo cuidado al obtener y
documentar material suficiente sobre el cual basar sus conclusiones y observaciones.
Apoyar la entrega de conocimientos a la dirección, clientes y publico en general para mejorar su comprensión de la auditoría y TI.
Auditoría Informática
Código de Conducta de la ISACA (Continuación…)
Los auditores deberán: Cumplir con sus deberes en forma
independiente y objetiva, y evitar toda actividad que comprometa o parezca comprometer su independencia.
Mantener su capacidad en auditoría de TI mediante la capacitación continua y profesional.
Auditoría Informática
Código de Conducta de la ISACA (Continuación…)
Los auditores deberán: Mantener altos estándares de conducta y
carácter tanto en sus actividades profesionales como en las privadas.
Auditoría Informática
Código de Conducta British Computer Society
Conducta Profesional; dignidad, reputación Interés Público y de terceras personas Fidelidad; cumplir obligaciones con
empleadores y clientes Competencia técnica Imparcialidad; informes por escrito a sus
clientes de actividades que puedan perjudicar un dictamen.
Auditoría Informática
Auditoría Informática
Perfil del Auditor de SistemasTecnologías de InformaciónAdministraciónNegocio (Bancario, financiero)Metodologías de
Aseguramiento de SWModelosTecnologías de Punta
Auditoría Informática
Debe ser parte de la formación profesional: Hardware, Software, Compiladores ,Imágenes, Sistemas Operativos, Bases de Datos, Análisis
de Sistemas etc). Gestión de Tecnologías de Información
Seguridad, Calidad, Ingeniería de Software Administración de Proyectos
Auditoría Informática
Impacto de las TI en las Organizaciones
Internet: Conocida como la red de redes, pues se trata de una de las redes más grandes con un estimado de mil quinientos millones de usuarios (2008).
Para funcionar utiliza el conjunto de protocolos TCP/IP.
Fue creada a finales de la década del 60 y se llamó al principio ARPANET; pensada para el área militar y usada por científicos.
Intranet: Red entre computadoras montada para el uso exclusivo dentro de una empresa u hogar. Se trata de una red privada que puede o no tener acceso a Internet.Sirve para compartir recursos entre computadoras
Auditoría Informática
Impacto de las TI en las Organizaciones
TCP/IP: (Transfer Control Protocol / Internet Protocol). Es el protocolo que utiliza internet para la comunicarse.
B2B: Forma de comercio electrónico en donde las operaciones comerciales son entre empresas y no con usuarios finales
CRM: Modelo de gestión orientado hacia los clientes, es el concepto más cercano al Marketing Relacional. Sistemas informáticos de apoyo a la gestión de las relaciones con los clientes, a la venta y al marketing. Con este significado CRM se refiere al Data warehouse o almacenamiento de datos con orientación a la información de la gestión de ventas, y de los clientes de la empresa. Involucra: aumento de venta por cruce de productos, venta proactiva, mejorar los niveles de retención y fidelización de clientes.
Auditoría Informática
Riesgos
“La incertidumbre que ocurra un evento que podría tener un impacto en el logro de los objetivos”.
Auditoría Informática
Riesgos
Los riesgos cuando se materializan, se denominan errores, irregularidades u omisiones, los cuales pueden generar una pérdida monetaria, en la imagen de la empresa o incumplimiento de normativa externa.
Auditoría Informática
Riesgos
Riesgo = Impacto * Probabilidad
Impacto: es el efecto o consecuencia cuando el riesgo se materializa
Probabilidad: representa la posibilidad que un evento dado ocurra.
Auditoría Informática
Riesgos
Riesgo Inherente: Riesgo inherente son aquellos riesgos propios de la materia y/o componentes de ésta. Se entiende que una materia por su naturaleza tiene riesgos que surgen por diversas fuentes, como los errores, irregularidades o fallas que pudieran ser importantes en forma individual o en conjunto con otros riesgos. Los riesgos inherentes a la materia pueden tener o no controles elaborados por la dirección para mitigar su probabilidad o su impacto.
Los riesgos inherentes a la materia bajo análisis pueden ser relativos al entorno, ambiente interno, procesos, información, etc
Auditoría Informática
Riesgos Inherentes
Riesgo de CréditoRiesgo FinancieroRiesgo OperacionalRiesgo de Tecnología de la InformaciónRiesgo Calidad de Servicio y transparencia de la
Información
Auditoría Informática
Riesgos Inherentes
Riesgo de Crédito: Exposición a una pérdida real o el costo de oportunidad como consecuencia del incumplimiento de pago de una persona natural o jurídica.
Riesgo Financiero: ocurrencia de un imprevisto por variaciones o cambios en la economía local o internacional que podría afectar los descalces de caja o posiciones asumidas por inversiones y su liquidez, como asimismo los descalces globales de activos.
Riesgo Operacional: Se define como el riesgo de pérdida debido a la inadecuación o fallas en los procesos, el personal y los sistemas internos o bien a causa de acontecimientos externos (fraudes, daños activos materiales, fallas en procesos, etc). Incluye riesgos legales y normativos.