Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA...

24
Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA TORRE»

Transcript of Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA...

Page 1: Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA TORRE»

Auditoria de Sistemas

INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA

«VICTOR RAUL HAYA DE LA TORRE»

Page 2: Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA TORRE»

Introducción

El continuo crecimiento de la dependencia hacia los sistemas tecnológicos que soportan los procesos de negocio de las organizaciones, hacen que las organizaciones comprendan y administren los riesgos asociados con la implantación y mantenimiento de las nuevas tecnologías, cada vez más complejas y cambiantes.

La tecnología seguirá cambiando la forma de hacer negocios, la conectividad de Internet entrando cada día más a nuestras vidas y cambiando la forma de hacer negocios

Estas nuevas tecnologías y la dinámica de cambio continuo que de ellas se deriva, requieren una función de auditoría informática o de sistemas calificada, competente y objetiva, que pueda entender y evaluar el riesgo en los sistemas de información y conlleve en el mejoramiento del control interno, la eficacia de los procesos y la aplicación de MEJORES MEJORES PRACTICAS orientadas a una adecuada administración del riesgo PRACTICAS orientadas a una adecuada administración del riesgo tecnológicotecnológico.

Page 3: Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA TORRE»

Auditoria Inicialmente, la auditoria se limitó a las verificaciones de los registros

contables, dedicándose a observar si los mismos eran exactos.

Por lo tanto esta era la forma primaria: Confrontar lo escrito con las pruebas de lo acontecido y las respectivas referencias de los registros.

Con el tiempo, el campo de acción de la auditoria ha continuado extendiéndose; aun hay quienes creen y practican auditorias con el único objetivo de observar la veracidad y exactitud de los registros.

Tomando en cuenta los criterios anteriores podemos decir que la auditoria es la actividad por la cual se verifica la corrección contable de las cifras de los estados financieros; Es la revisión misma de los registros y fuentes de contabilidad para determinar la racionabilidad de las cifras que muestran los estados financieros emanados de ellos.

Page 4: Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA TORRE»

Tipos de Auditoria

Page 5: Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA TORRE»

Auditoria de Sistemas

Revisión y evaluación de los Recursos Informáticos y de su ambiente.

La auditoria de los sistemas de informaciónsistemas de información se define como cualquier auditoria que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

Recursos:Recursos: Software Hardware Comunicaciones Personal (Organización) Políticas y Procedimientos Controles y Seguridad

Page 6: Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA TORRE»

Objetivos Generales Buscar una mejor relación costo-beneficio de los sistemas automáticos o

computarizados diseñados e implantados.

Incrementar la satisfacción de los usuarios de los sistemas computarizados.

Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.

Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.

Seguridad de personal, datos, hardware, software e instalaciones.

Apoyo de función informática a las metas y objetivos de la organización.

Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático.

Minimizar existencias de riesgos en el uso de Tecnología de información.

Decisiones de inversión y gastos innecesarios.

Capacitación y educación sobre controles en los Sistemas de Información.

Page 7: Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA TORRE»

Objetivos Específicos1. Participación en el desarrollo de nuevos sistemas: evaluación de controles cumplimiento de la metodología.

2. Evaluación de la seguridad en el área informática.

3. Evaluación de suficiencia en los planes de contingencia. respaldos, preveer qué va a pasar si se presentan fallas.

4. Opinión de la utilización de los recursos informáticos. resguardo y protección de activos.

5. Control de modificación a las aplicaciones existentes. fraudes control a las modificaciones de los programas.

6. Participación en la negociación de contratos con los proveedores.

7. Revisión de la utilización del sistema operativo y los programas utilitarios.

Page 8: Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA TORRE»

Objetivos Específicos (cont.) control sobre la utilización de los sistemas operativos programas utilitarios.

8. Auditoría de la base de datos. estructura sobre la cual se desarrollan las aplicaciones...

9. Auditoría de la red de teleprocesos.

10. Desarrollo de software de auditoría.

Page 9: Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA TORRE»

Normas de AuditoriaLos objetivos de estas normas son los de informar a los auditores del nivel mínimo de rendimiento aceptable para satisfacer las responsabilidades profesionales establecidas en el Código de Ética Profesional y de informar a la gerencia y a otras partes interesadas de las expectativas de la profesión con respecto al trabajo de aquellos que la ejercen.

S1 Estatuto S2 Independencia S3 Ética y normas profesionales S4 Competencia profesional S5 Planeación S6 Realización de labores de auditoría S7 Reporte S8 Actividades de seguimiento S9 Irregularidades y acciones ilegales S10 Gobernabilidad de TI S11 Uso de la evaluación de riesgos en la planeación de auditoría S12 Materialidad de la auditoría S13 Uso del trabajo de otros expertos S14 Evidencia de auditoría

Page 10: Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA TORRE»

Proceso de auditoria de SistemasUn proceso de auditoria basado en riesgo normalmente incluiría las siguientes

tareas: Recopilar información y planificar.

Realizando un conocimiento del negocio. Revisando de auditorias anteriores. Información financiera reciente. Leyes y Normativa aplicable. Análisis de los riesgos Inherentes.

Entender el Ambiente de Control Interno Ambiente de control. Procedimientos de control. Análisis de riesgo de detección. Determinación del control de riesgo.

Efectuar pruebas de cumplimiento. Comprobar las políticas y procedimientos. Comprobar la segregación de tareas.

Page 11: Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA TORRE»

Proceso de auditoria de Sistemas Efectuar pruebas sustantivas.

Procedimientos analíticos. Pruebas detalladas de balances de cuenta. Otros procedimientos sustantivos

Concluir la Auditoría Crear recomendaciones Redactar el informe de auditoría

Page 12: Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA TORRE»

El auditor de sistemas podrá enfocar su revisión en distintos aspectos, algunos de los más críticos se describen a continuación

Administración del departamento de sistemas. Administración del departamento de sistemas. Se debe comprobar la suficiencia de recursos humanos y la segregación de funciones.

Control de actividades del área de sistemas. Control de actividades del área de sistemas. Verificar la existencia y seguimiento de un plan estratégico de sistemas que este alineado con el plan estratégico de la organización en su conjunto. Dicho plan debería ser reflejado en planes anuales del área de sistemas que incluirían detalle de las tareas a realizar por el área en función a determinados plazos y recursos.

Control de tareas de desarrollo. Control de tareas de desarrollo. Revisión de la existencia, calidad y cumplimiento de normas, políticas y procedimientos de desarrollo de software que permitan llevar a cabo tareas homogéneas entre diferentes proyectos.

ASPECTOS DEL MEDIO AMBIENTE INFORMATICO QUE AFECTAN EL

ENFOQUE DE LA AUDITORIA

Page 13: Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA TORRE»

Control sobre las tareas de mantenimiento y los cambios a programas. Control sobre las tareas de mantenimiento y los cambios a programas.

Muchas veces las organizaciones se ven afectadas por cambios propiciados por entes regulatorios, de fiscalización, por el ingreso de nuevos servicios y/o productos al mercado, los cuales generan la necesidad de adecuar el sistema a las nuevas necesidades.

Esto implica la realización de cambios en los programas, los mismos que deben ser controlados, para lo cual se efectúa el diseño, la programación, las pruebas y la puesta en producción, estos aspectos deben ser controlados de manera adecuada.

ASPECTOS DEL MEDIO AMBIENTE INFORMATICO QUE AFECTAN EL

ENFOQUE DE LA AUDITORIA

Page 14: Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA TORRE»

Seguridad lógica. Seguridad lógica. La revisión de la seguridad lógica permitirá emitir una conclusión sobre:

La administración de perfiles de usuario. La administración de passwords. Control de privilegios especiales La generación de BackUps (Respaldos de datos). La generación de Logs. (registro de actividades en el sistema) Los virus y otros malwares. La existencia y características de un plan de contingencia de la organización.

Seguridad física.Seguridad física. Verificar la existencia y eficiencia de elementos que permitan asegurar las condiciones mínimas para un buen funcionamiento de los equipos principales de la organización, inclusive en caso de emergencias, esto puede incluir UPS, generados de energía, aire acondicionado, piso falso, detector de humo y extintores. El acceso restringido a hardware y equipo de apoyo crítico.

ASPECTOS DEL MEDIO AMBIENTE INFORMATICO QUE AFECTAN EL

ENFOQUE DE LA AUDITORIA

Page 15: Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA TORRE»

Estructura de aplicaciones. Estructura de aplicaciones. La identificación de sistemas críticos de la organización, el grado de

integración entre los diferentes sistemas, procesos en lote, oportunidades de automatización para mejorar eficiencia, etc.

Estructura de hardware. Estructura de hardware. El auditor puede considerar el tipo y cantidad de servidores y equipos personales existentes en la organización, el sistema operativo utilizado y las características de los mantenimientos realizados a los equipos.

Estructura de comunicaciones. Estructura de comunicaciones. En caso de que la organización cuente con sucursales o que realice operaciones a través de Internet, entre los aspectos a ser considerados se destacan, el tipo de comunicación, la velocidad de transferencia, la topología de la red, la cantidad de usuarios y los servicios prestados / recibidos a través de la red.

Administración de problemas. Administración de problemas. En este caso se evaluaría la existencia de procedimientos o normas aplicables para la realización de cambios de emergencia, la existencia y evaluación del historial de problemas presentados, el uso de una base de conocimiento, etc.

ASPECTOS DEL MEDIO AMBIENTE INFORMATICO QUE AFECTAN EL

ENFOQUE DE LA AUDITORIA

Page 16: Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA TORRE»

Control de proyectosControl de proyectos

El auditor debe verificar que para los proyectos de TI se lleve a cabo una adecuada técnica o metodología de administración de proyectos a fin de que se produzcan los resultados deseados en tiempo, forma y presupuesto.

Continuidad de operacionesContinuidad de operaciones

El auditor debe verificar el grado de preparación del área de tecnología ante situaciones contingentes o desastres, a fin de mantener la continuidad de las operaciones de forma aceptable y recuperar la normalidad en tiempos de respuesta adecuados.

ASPECTOS DEL MEDIO AMBIENTE INFORMATICO QUE AFECTAN EL

ENFOQUE DE LA AUDITORIA

Page 17: Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA TORRE»

1. Entendimiento global e integral del negocio, de sus puntos 1. Entendimiento global e integral del negocio, de sus puntos claves, áreas críticas, entorno económico, social y político. claves, áreas críticas, entorno económico, social y político.

2. Entendimiento del efecto de los sistemas en la organización. 2. Entendimiento del efecto de los sistemas en la organización.

3. Entendimiento de los objetivos de la auditoría. 3. Entendimiento de los objetivos de la auditoría.

4. Conocimiento de los recursos de computación de la empresa.4. Conocimiento de los recursos de computación de la empresa.

5. Conocimiento de los proyectos de sistemas.5. Conocimiento de los proyectos de sistemas.

REQUERIMIENTOS DEL AUDITOR DE SISTEMAS

Page 18: Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA TORRE»

Alcance

Page 19: Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA TORRE»

¿Preocuparse por auditar SI?

Firewalls

Firma digital

Gobierno CorporativoGobierno de TI

Administración de riesgos

Riesgos de TI

Control Interno

Controles de TI

SeguridadVirus

Balanced ScorecardHackers

VPNs

Estados Financieros

Regulaciones

AuditorAuditor Auditor de SIAuditor de SI

Page 20: Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA TORRE»

¿Qué ha cambiado?

Antes Ahora

No solo la tecnología, también los procesos de No solo la tecnología, también los procesos de revisión a la misma.revisión a la misma.

Page 21: Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA TORRE»

Conclusiones Toda empresa, pública o privada, que posean Sistemas de Información

medianamente complejos, debe someterse a un control estricto de evaluación.

El éxito de una empresa depende de la eficiencia de sus sistemas de información. Una empresa puede contar con personal altamente capacitado, pero si tiene un sistema informático propenso a errores, lento, frágil e inestable; la empresa nunca saldrá a adelante.

La auditoria de sistemas es la indicada para evaluar de manera profunda, una determinada organización a través de su sistema de información automatizado, es importante y relevante.

El auditor debe estar capacitado para comprender los mecanismos que se desarrollan en un procesamiento electrónico. También debe estar preparado para enfrentar sistemas computarizados en los cuales se encuentra la información necesaria para auditar.

Page 22: Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA TORRE»

La auditoria de Sistemas debe hacerse por profesionales expertos, una auditoria mal hecha puede acarrear consecuencias drásticas para la empresa auditada, principalmente económicas.

El auditor de sistemas también tiene que correr para estar bien capacitado, necesita recursos de conocimiento al alcance de su mano, el éxito logrado es mejor aun si es acreditado por un tercero reconocido.

Conclusiones

Page 23: Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA TORRE»

TAREA :

1.¿Que es auditoria informática?

2.¡Mencione los tipos de auditoria?

3.¿Cuáles son los requerimientos del auditor de sistemas?

¿Cuáles son los procesos de auditoria de sistemas?

5.¿Realice un mapa conceptual con respecto a lña auditoria de sistemas?

Page 24: Auditoria de Sistemas INSTITUTO DE EDUCACION SUPERIOR TECNOLOGIA PUBLICA «VICTOR RAUL HAYA DE LA TORRE»

MUCHASMUCHAS