Upload
miguel-aguilar
View
13
Download
2
Embed Size (px)
Citation preview
���
Unidad 01: Fundamentos de Auditoria
Capitulo 01: Fundamentos de Auditoria Informática 1
Introducción
SI/TI
Introducción
La información viaja a través del ciberespacio sin ninguna
restricción de tiempo, distancia y velocidad. Aumento de la dependencia de la información, así como de los
sistemas que proporcionan dicha información.
Aumento de la vulnerabilidad, así como un amplio espectro de
amenazas (como las amenazas del ciberespacio y la lucha por la
información).
Auditoría - Concepto
Actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas. Contenido: Una opinión. Condición: Profesional. Justificación: Sustentada en determinados procedimientos. Objeto: Una determinada información obtenida de un cierto elemento
o sujeto de análisis. Finalidad: Determinar si presenta adecuadamente la realidad o ésta
responde a las expectativas que le son atribuidas.
Clases de Auditoría
Financiera. El objeto de esta es revisar las cuentas anuales, y su finalidad es
presentar la realidad de dichas cuentas.
Informática. Su objeto es la revisión de sistemas de información, recursos
informáticos, planes de contingencia, etc. La finalidad es comprobar
la operatividad, según las normas establecidas.
Clases de Auditoría
Gestión. Su objeto es la dirección, y su finalidad es comprobar la eficacia,
eficiencia y economía.
Cumplimiento. El objeto es comprobar las normas establecidas. La finalidad es ver
que las operaciones se adecuan a estas normas.
���
Unidad 01: Fundamentos de Auditoria
Capitulo 01: Fundamentos de Auditoria Informática 2
Control Interno Informático
El control interno informático controla diariamente que
todas las actividades del sistemas de información sean
realizadas cumpliendo: Procedimientos, estándares y normas fijados por la Dirección de la
Organización y/o la Dirección de Informática, así como los
requerimientos legales.
La misión del Control Interno Informático es asegurarse de que las
medidas que se obtienen de los mecanismos implantados por cada
responsable sean correctas y validas.
Objetivos del Control Interno
Controlar que todas las actividades se realicen cumpliendo los
procedimientos, normas y asegurarse del cumplimiento de las
normas legales.
Asesorar sobre el conocimiento de las normas.
Colaborar y apoyar el trabajo de Auditoría Informática, así como de
las auditorías externas.
Definir, implantar y ejecutar mecanismos y controles para comprobar
el logro de los grados adecuados del servicio informático.
Auditoría Informática
Proceso de recoger, agrupar y evaluar evidencias para
determinar si un sistema informatizado salvaguarda los
activos, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organización y utiliza
eficientemente los recursos.
Auditoría Informática
La auditoría informática sustenta y confirma la consecución
de los objetivos tradicionales de la auditoría, los cuales son: Objetivos de protección de activos e integridad de datos.
Objetivos de gestión que abarcan, no solamente los de protección de
activos sino también los de eficacia y eficiencia.
Funciones del Auditor Informático
Participar en las revisiones durante y después del diseño,
realización, implantación y explotación de aplicaciones informáticas • Así como en las fases análogas de realización de cambios importantes.
Revisar y juzgar los controles implantados en los sistemas
informáticos • Para verificar su adecuación a las órdenes e instrucciones de la
Dirección, requisitos legales, protección de confidencialidad y cobertura
ante errores y fraudes.
Revisar y juzgar el nivel de eficiencia, utilidad, fiabilidad y seguridad
de los equipos e información.
���
Unidad 01: Fundamentos de Auditoria
Capitulo 01: Fundamentos de Auditoria Informática 3
Auditoría Informática
Control Interno Informático Auditor Informático
Similitudes Personal Interno. Conocimientos especializados en Tecnologías de la Información. Verificación del Cumplimiento de Controles internos, normativas y
procedimientos establecidos por la Dirección de Informática y la Dirección General para los sistemas de información.
Diferencias Análisis de los controles en el día a día.
Informa a la Dirección del Departamento de Informática.
Solo personal Interno. El alcance de sus funciones es
únicamente sobre el Departamento de Informática.
Análisis de un momento informático determinado.
Informa a la Dirección General de la Organización.
Personal Interno y/o externo. Tiene cobertura sobre todos los
componentes de los sistemas de información de la organización.
Definición
Se puede definir el control interno como cualquier actividad
o acción realizada manual y/o automáticamente para
prevenir, corregir errores o irregularidades que puedan
afectar al funcionamiento de un sistema.
Objetivos de los Controles Informáticos
Controles preventivos Para tratar de evitar el hecho.
Controles detectivos Cuando fallan los preventivos, para tratar de conocer cuanto antes el
evento.
Controles correctivos Facilitan la vuelta a la normalidad cuando se han producido
incidencias.
Perspectivas del Control
UBICACIÓN EN EL FLUJO DEL PROCESO
Entrada Proceso Salida
Oportunidad Preventivo Detectivo Correctivo
Co
sto
Re
pe
rcu
sió
n
Sistema de Control Interno - Actores
Determinará las pautas generales y
trazará los lineamientos para la
ejecución del Sistema de CI.
Operará las directrices trazadas por la
Gerencia y las contenidas en la norma
sobre el Sistema de Control Interno,
mediante la aplicación de
herramientas administrativas
diseñadas para este fin.
Como eje central del Sistema de CI,
debe realizar todas y cada una de sus
acciones atendiendo los conceptos de
autocontrol y auto evaluación,
apoyando las actividades orientadas a
fortalecer el funcionamiento del
sistema del organismo al cual
pertenece.
• Tienen el conocimiento
corporativo de la
Organización.
• Mirada objetiva,
independiente e imparcial.
• No tiene intereses creados.
• Planea en conjunto el S.C.I
de la Organización.
• Hace evaluación integral
de los planes y programas.
• Tiene una mirada
estratégica.
• Profundiza en los procesos
riesgosos de la institución
para determinar acciones.
DEPARTAMENTO DE
CONTROL INTERNO GERENCIA
JEFE DE
DEPARTAMENTO
FUNCIONARIO
���
Unidad 01: Fundamentos de Auditoria
Capitulo 01: Fundamentos de Auditoria Informática 4
Beneficio del Control Interno
Lograr que las piezas del motor funcionen armónica y sincronizadamente, de tal manera que cumpla su objetivo de generar el movimiento. Ayudar a los directivos al logro razonable de las metas y objetivos
institucionales. Integrar e involucrar al personal con los objetivos de control. Ayudar al personal a medir su desempeño y por ende, a
mejorarlo. Contribuir a evitar el fraude. Facilitar a los directivos la información de cómo se han aplicado
los recursos y cómo se han alcanzado los objetivos.
Auditoría Informática
Comprende la revisión y la evaluación independiente y
objetiva Por parte de personas independientes y teóricamente competentes
del entorno informático de una entidad abarcando todas o algunas
de sus áreas, los estándares y procedimientos en vigor, su idoneidad
y el cumplimiento de estos, de los objetivos fijados, los contratos y
las normas legales aplicables, el grado de satisfacción de usuarios y
directivos, los controles existentes y análisis de los riesgos
relacionados con la informática.
Auditoría de Sistemas de Información
ISACA (Information Systems Audit and Control Association). Cualquier auditoría que abarca la revisión y evaluación de todos los
aspectos (o alguna sección/área) de los sistemas automatizados de
procesamiento de información, incluyendo procedimientos
relacionados no automáticos, y las interrelaciones entre ellos.
ISO 9000:2000 - Auditoría
Proceso sistemático, independiente y documentado para
obtener evidencias y evaluarlas de manera objetiva Con el fin de determinar el alcance al que se cumplen los
procedimientos o requisitos contra los que se compara la evidencia.
���
Unidad 01: Fundamentos de Auditoria
Capitulo 01: Fundamentos de Auditoria Informática 5
Partes de un Contrato de Auditoría
Empresa Auditada.
Auditor Informático.
Terceras personas.
Informe de Auditoría
Constituye el producto final del trabajo de auditoría y la
única documentación que va a llegar a quien la ha
encargado. Sus objetivos principales consisten en permitir al que revisa entender
el trabajo realizado, las circunstancias que afectan a su fiabilidad y
las conclusiones de la auditor, así como prevenir una interpretación
errónea del grado de responsabilidad asumido por el auditor.