Docente:Ing. Franklin Calle ZapataIntegrantes:

Diaz Arevalo, Hiram (Líder 99%)Romaní Rojas, Walter (99%)Figueroa Muñoz, Frankie (99%)

“ORGANIZACIÓN DEL DEPARTAMENTO DE AUDITOR

INFORMATICA”

AUDITORIA DE SISTEMAS

CAPITULO 5

ORGANIZACIÓN DEL DEPARTAMENTO DE ORGANIZACIÓN DEL DEPARTAMENTO DE AUDITORÍA INFORMÁTICAAUDITORÍA INFORMÁTICA

2.12.1 ANTECEDENTESANTECEDENTES

la auditoría informática arranca en su corta historia cuando en los la auditoría informática arranca en su corta historia cuando en los años 50’s las organizaciones empezaron a desarrollar aplicaciones años 50’s las organizaciones empezaron a desarrollar aplicaciones

informáticas.informáticas. Posteriormente se hizo necesario que parte del Posteriormente se hizo necesario que parte del trabajo de auditoría empezara a tratar con sistemas que utilizaban trabajo de auditoría empezara a tratar con sistemas que utilizaban sistemas informáticos. sistemas informáticos. La auditoría informática nace con la necesidad de conocer los La auditoría informática nace con la necesidad de conocer los diversos sistemas informáticos, que son adquiridos y adecuados a diversos sistemas informáticos, que son adquiridos y adecuados a las operaciones de las compañías, los cuales deberán generar y las operaciones de las compañías, los cuales deberán generar y procesar la información de manera más eficiente, y que aseguren procesar la información de manera más eficiente, y que aseguren que la información que contienen esté libre de errores significativos que la información que contienen esté libre de errores significativos que distorsionen los resultados. que distorsionen los resultados.

ANTECEDENTESANTECEDENTES

Auditoría informática

Auditoría en general

Auditoría interna

• contabilidad•Control•Veracidad de operaciones•etc

Escritura como consecuencia de la necesidad de controlar y registrar operaciones?

Contexto Estratégico y Operativo de la Organización

SI y la arquitectura que los soporta, desempeñan un papel importante como uno de los soportes básicos para la gestión y control del negocio

Sistemas de Información de la organizaciónda lugar

Análisis del nacimiento y existencia de la auditoría informática desde el punto de vista empresarial

Análisis del contexto organizativo y ambiental de desenvolvimiento

empezamos

• SI • recursos que los manejan• inversiones que se ponen a disposición de estos recursos para el funcionamiento y obtención de resultados esperados

Departamento de Sistemas de Información

Gestiona

CONTROL

AUDITORÍA INFORMATICA

Función de Auditoría Informática o Función de Control Informático

Reseña histórica

• Inicia en los años 50• la auditoria trabajaba con sistemas manuales• las organizaciones empiezan a desarrollar aplicaciones informáticas• sistemas cada vez mas complejos• necesidad de que auditoría trate con sistemas informáticos• equipos de auditoría externa e interna eran mixtos• auditores informáticos y financieros involucrados

AUDITORIA INFORMATICAAUDITORIA INFORMATICA

OBJETIVOOBJETIVO

La protección de los activos de la compañía:La protección de los activos de la compañía:

El sistema utilizado debe ser debidamente configurado y adecuado para El sistema utilizado debe ser debidamente configurado y adecuado para que permita conocer en tiempo y exactitud los rubros que se pretenden que permita conocer en tiempo y exactitud los rubros que se pretenden controlar, así como la rápida respuesta a la generación de información útil y controlar, así como la rápida respuesta a la generación de información útil y veraz. Con accesos debidamente asignados.veraz. Con accesos debidamente asignados.

Integridad de información: Integridad de información:

La información debe ser completamente transparente (confiable), debe La información debe ser completamente transparente (confiable), debe estar libre de cualquier desviación o error significativo que la distorsione. estar libre de cualquier desviación o error significativo que la distorsione.

Enfoques de las funciones del equipo de auditoría informática en la que convergían

Trabajos en los que el equipo de Auditoría Informática trabajaba bajo un programa de trabajo propio, aunque entroncando sus objetivos con los de Auditoría Financiera

• Por ejemplo: trabajos en los que se realizaban controles generales de la instalación y controles específicos de las aplicaciones bajo conceptos de riesgo pero siempre unido al hecho de que el equipo de auditoría financiera utilizaría este trabajo para sus conclusiones generales sobre el componente financiero determinado

Revisiones en las que la Auditoría Informática consistía en la extracción de información para el equipo de Auditoría Financiera

• el equipo o función de auditoría interna era un exponente de la necesidad de las organizaciones y los departamentos de auditoría de utilizar expertos en informática que provean a éste equipo de información extraída del sistema informático cuando esta información empezaba a ser voluminosa y se perdía la pista de cómo se había creado

Esta situación convive hoy en día con conceptos mas actuales y novedosos Esta situación convive hoy en día con conceptos mas actuales y novedosos en cuanto a la función y los objetivos de la auditoría informáticaen cuanto a la función y los objetivos de la auditoría informática

Tendencias de la Auditoría Informática

1. Todos los auditores deberán tener conocimientos informáticos para desenvolverse en el entorno de la Tecnologías deInformación dentro de la organizaciones empresariales, culturales y sociales

2. Este aspecto no eliminará la necesidad de especialistas en auditoría informatica, por el contrario, los especialistas necesitarán cada vez más, conocimientos muy específicos, que al igual que sucede en el entorno de los SI, les permitan ser expertos en las diferentes ramas de la tecnología informática

3. El auditor informático dejará de ser un profesional proveniente de otra área, con su consiguiente reciclado, para pasar a ser un profesional formado y titulado en auditoría informática que tendrá a su alcance diferentes medios de formación, externa fundamentalmente, y que tendrá que formar una red de conocimientos compartidos con otros profesionales, tanto en su organización como de otras organizaciones.

CLASES Y TIPOS DE AUDITORÍA INFORMÁTICA

Auditoria informática como soporte a la auditoria tradicional, Auditoria informática como soporte a la auditoria tradicional, financiera, etc.financiera, etc.

Auditoria informática con el concepto anterior, pero añadiendo la Auditoria informática con el concepto anterior, pero añadiendo la función de auditoria de la función de gestión del entorno informático.función de auditoria de la función de gestión del entorno informático.

Auditoria informática como función independiente, enfocada hacia la Auditoria informática como función independiente, enfocada hacia la obtención de la situación actual de un entorno de información e obtención de la situación actual de un entorno de información e informático en aspectos de seguridad y riesgo, eficiencia y veracidad informático en aspectos de seguridad y riesgo, eficiencia y veracidad e integridad.e integridad.

Las acepciones anteriores desde un punto de vista interno y externo.Las acepciones anteriores desde un punto de vista interno y externo.

Auditoria como función de control dentro de un departamento de Auditoria como función de control dentro de un departamento de sistemassistemas

TIPOS DE AUDITORIA INFORMATICATIPOS DE AUDITORIA INFORMATICA

Auditoría de la gestión:Auditoría de la gestión: Referido a la contratación de bienes y servicios, etc. Referido a la contratación de bienes y servicios, etc.

Auditoría legal del Reglamento de Protección de DatosAuditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas : Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos. Datos.

Auditoría de los datosAuditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los : Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas. flujogramas.

Auditoría de las bases de datosAuditoría de las bases de datos:: Auditoría de la seguridadAuditoría de la seguridad: Referidos a datos e información verificando disponibilidad, : Referidos a datos e información verificando disponibilidad,

integridad, confidencialidad, autenticación y no repudio.integridad, confidencialidad, autenticación y no repudio. Auditoría de la seguridad físicaAuditoría de la seguridad física: Referido a la ubicación de la organización, evitando : Referido a la ubicación de la organización, evitando

ubicaciones de riesgo. También está referida a las protecciones externas y protecciones del ubicaciones de riesgo. También está referida a las protecciones externas y protecciones del entorno. entorno.

Auditoría de la seguridad lógicaAuditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de : Comprende los métodos de autenticación de los sistemas de información. información.

Auditoría de las comunicacionesAuditoría de las comunicaciones. .

Auditoría de la seguridad en producciónAuditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.: Frente a errores, accidentes y fraudes.

FUNCION DE AUDITORIA INFORMÁTICAFUNCION DE AUDITORIA INFORMÁTICA

Un profesional dedicado al análisis de sistemas Un profesional dedicado al análisis de sistemas de información e informáticos que esta de información e informáticos que esta especializado en alguna de las ramas de la especializado en alguna de las ramas de la auditoria informática.auditoria informática.

Posee las características necesarias para actuar Posee las características necesarias para actuar como consultor de su auditado.como consultor de su auditado.

Puede actuar como consejero con la organización Puede actuar como consejero con la organización en la que está desarrollando su labor.en la que está desarrollando su labor.

El auditor debe ser una persona con un alto grado de calificación técnica, y estar integrado en las corrientes organizativas empresariales de hoy en día.

1. En su formación básica debe contemplar conocimientos en cuanto a:

• Desarrollo informático

• Gestión de departamento de sistemas.

• Análisis de riesgo en un entorno informático.

• Sistemas operativos

• Telecomunicaciones.

• Gestión de base de datos.

• Redes locales.

Perfiles profesionales de la función de auditoria informática

• Seguridad física

• Operaciones y planificación informática.

• Gestión de la seguridad de los sistemas y de la continuidad empresarial a través de los planes de contingencia de la información.

• Gestión de problemas y de cambios en entornos informáticos.

• Administración de datos, ofimática, comercio electrónico y encriptación de datos

Perfiles profesionales de la función de auditoria informática

3. Falta de comunicación entre el auditado y el auditor.

2. A estos conocimientos se deben añadir una especialización en función de la importancia económica que distintos componentes puedan tener en un entorno empresarial.

4. El auditor debe tener siempre un concepto de calidad total

Perfiles profesionales de la función de auditoria informática

FUNCIONES A DESARROLLAR POR LA FUNCIONES A DESARROLLAR POR LA FUNCIÓN DE AUDITORÍA INFORMÁTICAFUNCIÓN DE AUDITORÍA INFORMÁTICA

¿Puede la función auditora informática aportar solo lo que le piden o debe ¿Puede la función auditora informática aportar solo lo que le piden o debe formar parte de un ente organizativo total , lo que le exige una contribución formar parte de un ente organizativo total , lo que le exige una contribución total al entorno empresarial en el que está realizando su trabajo?total al entorno empresarial en el que está realizando su trabajo?

LLa función auditora informática, debe mantener en lo posible los objetivos de a función auditora informática, debe mantener en lo posible los objetivos de revisión que lo demande la organización, pero como esto es muy general debe revisión que lo demande la organización, pero como esto es muy general debe de abarcar campos de revisión más allá de lo que tradicionalmente realiza debe de abarcar campos de revisión más allá de lo que tradicionalmente realiza debe incidir también sobre conceptos más amplios como: el riesgo de la información, incidir también sobre conceptos más amplios como: el riesgo de la información, la continuidad de las operaciones la gestión del centro de información o la la continuidad de las operaciones la gestión del centro de información o la

efectividad y actualización de las inversiones. efectividad y actualización de las inversiones.

ACTIVIDADES OBJETIVAS DE LA AUDITORÍA INFORMÁTICA

•Verificación del control interno, tanto de las aplicaciones como de los sistemas informáticos, centrales y periféricos.

• Análisis de la gestión de los sistemas de información desde un vista de riesgo de seguridad, de gestión y de efectividad de la gestión.

• Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de las aplicaciones. Esta función, que la vienen desempeñando los auditores informáticos, están empezando ya a desarrollarlas los auditores financieros.

• Auditoría del riesgo operativo de los circuitos de información.

•Análisis de la gestión de los riesgos de la información y de la seguridad implícita.

• Verificación del nivel de continuidad de las operaciones (a realizar conjuntamente con los auditores financieros)

• Análisis del estado del arte tecnológico de la instalación revisada y de las consecuencias empresariales que un desfase tecnológico pueda acarrear.

• Diagnóstico sobre el grado de cobertura que dan las aplicaciones a las necesidades estratégicas y operativas de información de la organización

El concepto de control interno es importantísimo, pero además de verificardicho control, el auditor interno tiene la obligación de convertirse un poco En consultor y en ayuda del auditado, dándole ideas de cómo establecer Procedimientos, control interno, efectividad y eficacia y medición del riesgoEmpresarial.

ORGANIZACIÓN DELA FUNCION DE LA AUDITORIA ORGANIZACIÓN DELA FUNCION DE LA AUDITORIA INFORMATICAINFORMATICA

La función de auditoría informática a pasado de ser una función La función de auditoría informática a pasado de ser una función meramente de ayuda al auditor financiero a ser una función que meramente de ayuda al auditor financiero a ser una función que desarrolla un trabajo y lo seguirá haciendo en el futuro.desarrolla un trabajo y lo seguirá haciendo en el futuro.

Pasa a ser auditor y consultor del ente empresarial, en el que va a ser Pasa a ser auditor y consultor del ente empresarial, en el que va a ser analista, auditor y asesor en materia de:analista, auditor y asesor en materia de: SeguridadSeguridad Control interno operativoControl interno operativo Eficiencia y eficaciaEficiencia y eficacia Tecnología informáticaTecnología informática Continuidad de operacionesContinuidad de operaciones Gestión de negociosGestión de negocios

No solamente de los sistemas informáticos objetos de estudio, sino de No solamente de los sistemas informáticos objetos de estudio, sino de las relaciones e implicaciones operativas que dichos sistemas tienen las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial.en el contexto empresarial.

El tipo de papel que debe desempeñar el auditor dentro de una El tipo de papel que debe desempeñar el auditor dentro de una organización son:organización son: Su localización debe estar ligada a la localización de la auditoría Su localización debe estar ligada a la localización de la auditoría

interna operativa y financiera, pero con independencia de objetos, interna operativa y financiera, pero con independencia de objetos, de planes de formación y de presupuesto.de planes de formación y de presupuesto.

La organización operativa tipo debe ser la de un grupo La organización operativa tipo debe ser la de un grupo independiente del de auditoria interna, con una accesibilidad total independiente del de auditoria interna, con una accesibilidad total al de los sistemas informáticos y de información.al de los sistemas informáticos y de información.

La dependencia en todo caso debe ser del máximo responsable La dependencia en todo caso debe ser del máximo responsable operativo de la organización.operativo de la organización. Este personal debe contemplar su titulación de la CISA como un Este personal debe contemplar su titulación de la CISA como un

elemento básico para comenzar su carrera como auditor elemento básico para comenzar su carrera como auditor informático.informático.

La organización interna tipo de la organización podría ser:La organización interna tipo de la organización podría ser: Jefe de departamentoJefe de departamento Gerente o supervisor de auditoría informáticaGerente o supervisor de auditoría informática Auditor informáticoAuditor informático

El tamaño solo se puede precisar un función de los objetivos de la El tamaño solo se puede precisar un función de los objetivos de la función.función.

Se podría considerar:Se podría considerar: Especialista en el entorno informático a auditarEspecialista en el entorno informático a auditar Especialista en comunicación y/o redesEspecialista en comunicación y/o redes Responsables de gestión de riesgos operativo y aplicacionesResponsables de gestión de riesgos operativo y aplicaciones Responsables de la auditoria de sistemas de informaciónResponsables de la auditoria de sistemas de información Especialista para la elaboración de programas de trabajo conjuntos Especialista para la elaboración de programas de trabajo conjuntos

con la auditoría financieracon la auditoría financiera

GRACIASGRACIAS