Embed Size (px)
Citation preview
AUDITORÍA DE SISTEMAS
Milton Narváez ([email protected])Universidad Don Bosco
29 de enero de 2015
Universidad Don BoscoUniversidad Don BoscoFacultad de IngenieríaFacultad de IngenieríaEscuela de Ingeniería en Computación (EIC)Escuela de Ingeniería en Computación (EIC)
UNIDAD I.UNIDAD I.ENTORNO DE LA AUDITORÍA DE ENTORNO DE LA AUDITORÍA DE
SISTEMAS DE INFORMACIÓNSISTEMAS DE INFORMACIÓN
UNIDAD I. ENTORNO DE LA AUDITORÍA DE UNIDAD I. ENTORNO DE LA AUDITORÍA DE SISTEMAS DE INFORMACIÓNSISTEMAS DE INFORMACIÓN
CONTENIDO
1.4. Clasificación de la ASI
1.5. Objetivos de la ASI
1.6. Normas éticas en el desempeño del auditor
1.7. Criterio, responsabilidad, jurisdicción y actitud
1.8. Factorización para la realización de ASI
COMPETENCIAS DESEABLESPlaneación estratégicaEjecución de procesosComunicación efectivaMejora continua
Aula virtual UDB:http://moodle.udb.edu.sv/ead/sistema/
1.4. Clasificación de la ASI1.4. Clasificación de la ASI
⁻ Auditorías por su lugar de aplicación
Auditoría externa
Auditoría interna
⁻ Auditorías por su área de aplicación
Auditoría financiera
Auditoría administrativa
Auditoría operacional
Auditoría integral
Auditoría gubernamental
Auditoría de sistemas
1.4. Clasificación de la ASI1.4. Clasificación de la ASI
⁻ Auditorías especializadas en áreas específicas
Auditoría al área médica (evaluación médico-sanitaria)
Auditoría al desarrollo de obras y construcciones (evaluación de ingeniería)
Auditoría fiscal
Auditoría laboral
Auditoría de proyectos de inversión
Auditoría a la caja chica o caja mayor (arqueos)
Auditoría al manejo de mercancías (inventarios)
Auditoría ambiental
Auditoría de sistemas
1.4. Clasificación de la ASI1.4. Clasificación de la ASI
⁻ Auditoría de sistemas computacionales
Auditoría informática
Auditoría con la computadora
Auditoría sin la computadora
Auditoría a la gestión informática
Auditoría al sistema de cómputo
Auditoría al rededor de la computadora
Auditoría de la seguridad de sistemas computacionales
Auditoría a los sistemas de redes
Auditoría integral a los centros de cómputo
Auditoría ISO-9000 a los sistemas computacionales
Auditoría outsourcing
Auditoría ergonómica de sistemas computacionales
1.5. Objetivos de la ASI1.5. Objetivos de la ASI
⁻ Realizar una revisión independiente de las actividades, áreas o funciones especiales de una institución, a fin de emitir un dictamen sobre la razonabilidad de sus operaciones y resultados.
⁻ Hacer una revisión especializada, desde un punto de vista profesional y autónomo, del aspecto contable, financiero y operacional de las áreas de una empresa.
⁻ Evaluar el cumplimiento de los planes, programas, políticas, normas y lineamientos que regulan la actuación de los empleados y funcionarios de una institución, así como evaluar las actividades que se desarrollan en sus áreas y unidades administrativas.
⁻ Dictaminar de manera profesional e independiente sobre los resultados obtenidos por una empresa y sus áreas, así como sobre el desarrollo de sus funciones y el cumplimiento de sus objetivos y operaciones.
1.5. Objetivos de la ASI1.5. Objetivos de la ASI
1.5. Objetivos de la ASI1.5. Objetivos de la ASI1.5.1. Marco esquemático de la ASI1.5.1. Marco esquemático de la ASI
1.5. Objetivos de la ASI1.5. Objetivos de la ASI1.5.1. Marco esquemático de la ASI1.5.1. Marco esquemático de la ASI
1.5. Objetivos de la ASI1.5. Objetivos de la ASI1.5.1. Marco esquemático de la ASI1.5.1. Marco esquemático de la ASI
1.5. Objetivos de la ASI1.5. Objetivos de la ASI1.5.1. Marco esquemático de la ASI1.5.1. Marco esquemático de la ASI
1.5. Objetivos de la ASI1.5. Objetivos de la ASI1.5.1. Marco esquemático de la ASI1.5.1. Marco esquemático de la ASI
1.6. Normas éticas en el desempeño del 1.6. Normas éticas en el desempeño del auditorauditor
1.7. Criterio, responsabilidad, jurisdicción 1.7. Criterio, responsabilidad, jurisdicción y actitudy actitud
1.7. Criterio, responsabilidad, jurisdicción 1.7. Criterio, responsabilidad, jurisdicción y actitudy actitud
1.7. Criterio, responsabilidad, jurisdicción 1.7. Criterio, responsabilidad, jurisdicción y actitudy actitud
1.7. Criterio, responsabilidad, jurisdicción 1.7. Criterio, responsabilidad, jurisdicción y actitudy actitud
1.7. Criterio, responsabilidad, jurisdicción 1.7. Criterio, responsabilidad, jurisdicción y actitudy actitud
1.7. Criterio, responsabilidad, jurisdicción 1.7. Criterio, responsabilidad, jurisdicción y actitudy actitud
1.8. Factorización para la realización de 1.8. Factorización para la realización de ASIASI
Un proceso de auditoría requiere de competencias para administrar la complejidad. Para ello se sugiere:a)Factorizar el sistema en subsistemas.b)Determinar la confiabilidad de cada subsistema, y las implicancias de cada uno de ellos en el nivel de confiabilidad general del sistema.
El primer paso para comprender un sistema complejo es particionarlo en subsistemas.
1.8. Factorización para la realización de 1.8. Factorización para la realización de ASIASI
Un subsistema es un componente de un sistema que:a)Realiza ciertas funciones básicas necesarias para el sistema en general,b)Le permite atender sus objetivos fundamentales.
Los subsistemas son componentes lógicos y no físicos.
El proceso de particionar en subsistemas se denomina factorización.
Para poder factorizar, se necesita un criterio.
Criterio: La esencia de un subsistema es la función que realiza.
1.8. Factorización para la realización de 1.8. Factorización para la realización de ASIASI
Los auditores deben identificar primero, las principales funciones que el sistema realiza para cumplir sus objetivos.
El proceso de factorización termina cuando se ha particionado el sistema en partes lo suficientemente pequeñas, de tal modo que puedan ser entendidas y evaluadas.
Además de las funciones, existen otras dos guías:a)Acoplamiento. Cada subsistema debería ser relativamente independiente de otros subsistemas.b)Cohesión. Cada subsistema debe ser internamente cohesivo. Todas las actividades realizadas por el sistema apuntan a cumplir la función principal del subsistema.
1.8. Factorización para la realización de ASI1.8. Factorización para la realización de ASI1.8.1. Formas de factorización1.8.1. Formas de factorización
a) Funciones gerenciales: las funciones que se deben realizar para asegurar que el desarrollo, la implementación, operación y mantenimiento de los sistemas de información proceden de una forma planificada y controlada.
b) Funciones de aplicación: tareas que son necesarias ejecutar para realizar un procesamiento de información confiable. Relacionado con “ciclos”.
1.8. Factorización para la realización de ASI1.8. Factorización para la realización de ASI1.8.1. Formas de factorización1.8.1. Formas de factorización
a) Funciones gerenciales: las funciones que se deben realizar para asegurar que el desarrollo, la implementación, operación y mantenimiento de los sistemas de información proceden de una forma planificada y controlada.
b) Funciones de aplicación: tareas que son necesarias ejecutar para realizar un procesamiento de información confiable. Relacionado con “ciclos”.
Los sistemas de información que soportan una organización, se dividen en ciclos. Los ciclos varían de acuerdo al tipo de organización: industria, entidad financiera, entre otros.
1.8. Factorización para la realización de ASI1.8. Factorización para la realización de ASI1.8.1. Formas de factorización1.8.1. Formas de factorización
Factorización en base a funciones gerenciales Factorización en base a funciones gerenciales
Subsistema Gerencial
Descripción
Alta gerencia
Debe asegurar que las funciones de los SI estén bien administradas.
Decisiones de políticas a largo plazo de cómo serán usados los SI.
Gerencia de Sistemas de Información
Responsabilidad general de planificar ycontrolar todas las actividades de los SI.
Aconseja a la alta gerencia de las decisiones políticas de largo plazo y las traduce en metas y objetivos de corto plazo.
1.8. Factorización para la realización de ASI1.8. Factorización para la realización de ASI1.8.1. Formas de factorización1.8.1. Formas de factorización
Factorización en base a funciones gerenciales Factorización en base a funciones gerenciales
Subsistema Gerencial
Descripción
Gerencia deDesarrollo deSistemas
Responsable del diseño, implementacióny mantenimiento de los sistemas.
Gerencia de Programación
Responsable de la programación de nuevos sistemas, mantenimiento de losviejos y soporte general.
Administración deDato
Responsable de lograr los objetivos deplanificación y control en relación al usode los datos de la organización.
Gerencia deAseguramiento deCalidad
Responsable de asegurar que eldesarrollo, operación y mantenimientode los sistemas es conforme a losestándares de calidad establecidos.
1.8. Factorización para la realización de ASI1.8. Factorización para la realización de ASI1.8.1. Formas de factorización1.8.1. Formas de factorización
Factorización en base a funciones gerenciales Factorización en base a funciones gerenciales
Subsistema Gerencial
Descripción
Administración deSeguridad
Responsable por los controles de accesoy seguridad física de las funciones de losSI.
Gerencia deOperaciones
Responsable de la planificación y controlde las operaciones diarias.
1.8. Factorización para la realización de ASI1.8. Factorización para la realización de ASI1.8.1. Formas de factorización1.8.1. Formas de factorización
Factorización en base a funciones de aplicaciónFactorización en base a funciones de aplicación
Subsistema de Aplicación
Descripción
Limítrofe Componentes que establecen lasinterfaces entre el usuario y el sistema.
Imput Componentes que capturan, preparan eingresan comandos y datos al sistema.
Comunicaciones Componentes que transmiten datosentre los subsistemas y sistemas.
Procesamiento
Componentes que realizan toma dedecisiones, cálculos, clasificación,ordenamiento y sumarización de datosdentro del sistema.
Base de datos Componentes que definen, agregan,acceden, modifican o eliminan datos.
Output Componentes que buscan y presentan losdatos al usuario.
UNIDAD I. ENTORNO DE LA AUDITORÍA DE UNIDAD I. ENTORNO DE LA AUDITORÍA DE SISTEMAS DE INFORMACIÓNSISTEMAS DE INFORMACIÓN
CONTEXTO DE LA AUDITORÍA DE SISTEMASCONTEXTO DE LA AUDITORÍA DE SISTEMAS
UNIDAD I. ENTORNO DE LA AUDITORÍA DE UNIDAD I. ENTORNO DE LA AUDITORÍA DE SISTEMAS DE INFORMACIÓNSISTEMAS DE INFORMACIÓN
CONTEXTO DE LA ASICONTEXTO DE LA ASI PROCESO DEPROCESO DEAUDITORÍA DE SISTEMASAUDITORÍA DE SISTEMAS
Fuentes de consultaFuentes de consulta
Muñoz Razo, Carlos (2002). Auditoría en Sistemas Computacionales, Primera Edición, Editorial Pearson Prentice Hall, México.
Elsa Estevez (2010). Planificación – Controles y Riesgos, Departamento de Ciencias e Ingeniería de la Computación, Universidad Nacional del Sur, Argentina (www.uns.edu.ar).
Yann Derrien (2009). Técnicas de la auditoría informática, editorial Marcombo, España [libro electrónico en e-brary.com]
Milton Narváez ([email protected])Universidad Don Bosco
29 de enero de 2015
““Conocerse a si mismo implica ser Conocerse a si mismo implica ser capaz de observarse en acción con otrocapaz de observarse en acción con otro””
Bruce LeeBruce Lee
