• HORAS SEMESTRE : 70 HORASAUDITORIA COMPUTACIONAL

HORAS

1 INTRODUCCION A LA AUDITORÍA INFORMÁTICA 10

2 METODOLOGIA DE LA AUDITORÍA INFORMATICA 8

3 AUDITORÍA DE LA FUNCION INFORMÀTICA 8

4 TIPOS Y CLASES DE AUDITORÍAS INFORMATICAS 8

5 EL CENTRO DE PROCESAMIENTO DE DATOS (CPD) Y LA SEGURIDAD EN LA AUDITORÍA INFORMATICA

10

6 PLANIFICACION DE LA AUDITORÍA INFORMATICA 8

7 APLICACION PRÁCTICA DE LA AUDITORÍA INFORMATICA 12

• N° 1 11-09-2014 20%• N° 2 02-10-2014 15%• N° 3 06-11-2014 25%• N° 4 04-12-2014 20%• 11-12-2014 EXPOSICION 20%• Examen: 18-12-2014

FECHAS EVALUACIONES

AUDITORIA COMPUTACIONAL

INTRODUCCIÓN

La Informática hoy, está subsumida en la gestión integral

de la empresa

y por eso las Normas y estándares propiamente

informáticos deben estar, por lo tanto,

sometidos a los generales de la misma

AUDITORIA COMPUTACIONAL

Las organizaciones informáticas forman parte de lo que se ha

denominado el "management" o gestión de la empresa.

Debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática.

CONCEPTO DE AUDITORÍA

Auditoría (Auditorius): todo aquel que tiene la virtud de oír.

Dentro de la literatura nos podemos encontrar con distintas

conceptos de Auditoria, sin embargo las variaciones entre uno y otro están dadas ya sea por el tipo de auditoria o el

enfoque de cada una de ellas.

CONCEPTO DE AUDITORÍAConcepto de Auditoría Limitado a Administración y contabilidad

Es el examen profesional, objetivo e independiente, de las operaciones financiera y/o

Administrativas, que se realiza con posterioridad a su ejecución en las entidades públicas o privadas y cuyo producto final es un informe conteniendo una opinión profesional sobre la razonabilidad de sus

operaciones y resultados, sobre la información financiera y/o administrativa auditada, así como

conclusiones y recomendaciones tendientes a promover la economía, eficiencia y eficacia de la gestión empresarial o gerencial, sin perjuicio de

verificar el cumplimiento de las leyes y regulaciones aplicables.

Del concepto se aprecian los siguientes elementos principales: 1. Es un examen profesional, objetivo e independiente 2. De las operaciones financieras y/o Administrativas3. Se realiza con posterioridad a su ejecución.4. Producto final es un informe5. Conclusiones y recomendaciones6. Promover la economía, eficiencia y eficacia

. Determinar el grado de cumplimiento de objetivos y metas de los planes administrativos y financieros.

Forma de adquisición, protección y empleo de los recursos materiales y humanos.

Racionalidad, economía, eficiencia y eficacia en el cumplimiento de los planes financieros y administrativos.

Este examen o Auditoría comprende:

CONCEPTO DE AUDITORÍA

Clasificación de auditorías por su área de aplicación

Auditoría operacional

Auditoría integral

Auditoría gubernamental

Auditoría informática:

Auditoría administrativa

Auditoría financiera (contable) Es la revisión técnica,

especializada y exhaustiva que se realiza

a los sistemas computacionales,

software e información utilizados en una

empresa, sean individuales, compartidos

o de redes, así como a sus instalaciones,

telecomunicaciones, mobiliario, equipos periféricos, y demás

componentes. El propósito fundamental

es evaluar el uso adecuado de los sistemas para el correcto ingreso

de los datos, el procesamiento adecuado y la emisión oportuna de

sus resultados en la organización.

Clasificación de auditorías por su área de aplicación

De lo anterior concluiremos que:

Existe más de una definición de Auditoría

a) Es un proceso sistemático

b) La evidencia se obtiene y evalúa de manera objetiva

c) La evidencia consiste en una amplia gama de información

c) También se puede aplicar criterio profesional para poder relacionarlo con otras actividades de interés personal.

Lo más común es que el auditor realice su trabajo de acuerdo a los principios de contabilidad generalmente aceptados (PCGA), sin embargo en algunas ocasiones los principios apropiados son: algunas leyes, reglamentos, convenios contractuales, manuales de procedimientos y otras disposiciones establecidas por Autoridad competente en el tema.

Concepto de consultoría

Se encuentran diferentes definiciones para la actividad de consultoría.

“Servicio prestado por una persona o personas independientes y calificadas, en la identificación e investigación de problemas relacionados con políticas, organización, procedimientos y métodos; recomendación de medidas apropiadas y prestación de asistencia en la aplicación de dichas recomendaciones.(http://jaimeospina.wordpress.com/2010/06/24/definicion-de-consultoria/)

Diferencias entre Auditoría y Consultoría

La auditoría: • se encarga de verificar que

las actividades en la empresa realicen de forma adecuada, y que las normas y procedimientos internas y legales se cumplan

• saca una “fotografía” de cómo se encuentra la empresa u organización al momento de realizarse entregando una “opinión”, sin intervenir

La consultoría: • se encarga de asesorar en las

áreas de su conocimiento y especialización, a fin de mejorar los procesos que realizamos en la empresa.

• se preocupa de corregir las desviaciones, entregando indicaciones y/o correcciones a realizar.

Auditoria de Sistemas de Información

Cuando se generalizó el uso de las nuevas tecnologías, surgió también la necesidad de realizar auditorías sobre los sistemas de tratamiento de

información.

En este sentido se

podría decir que la

auditoria informática comprende:

el conjunto de actividades encaminadas a la validación y verificación de los sistemas, procesos y resultados en los que se utilicen

tecnologías automatizadas

• ya sea en cumplimiento de la legislación,

• como garantía de la integridad de la información aportada por un sistema

• o por alineamiento con determinados estándares relacionados con el buen uso (best practices) de los sistemas

Tipos de auditorías Informáticas

Regular InformáticaLas que se realizan a la calidad de la información existente en las bases de datos de los

sistemas, que se utilizan para controlar los recursos, su entorno y los riesgos asociados a esta actividad.

Especial InformáticaConsiste en el análisis de los aspectos específicos relativos a las bases de datos de los sistemas en que se haya detectado algún tipo de alteración o incorrecta operatoria de

los mismos

Recurrente InformáticaSon aquellas donde se examinan los Planes de Medidas elaborados en auditorias

informáticas anteriores donde se obtuvo la calificación de Deficiente o Malo, ya sea en una Regular o Especial.

Otros tipos de auditorías son:

1. Auditoría con la computadora2. Auditoría sin la computadora 3. Auditoría a la gestión informática4. Auditoría al sistema de cómputo5. Auditoría alrededor de la computadora6. Auditoría de la seguridad de los sistemas

computacionales7. Auditoría a los sistemas de redes8. Auditoría integral a los centros de cómputo9. Auditoría ISO-9000 a los sistemas computacionales10. Auditoría outsourcing11. Auditoría ergonómica de sistemas computacionales

Otros tipos de auditorías son:

Auditoría con la computadora

Es la que se realiza con el apoyo de los equipos de cómputo y sus programas para evaluar cualquier tipo de actividades y operaciones, no

necesariamente computarizadas, pero si susceptibles de ser automatizadas.

Otros tipos de auditorías son:

Auditoría sin la computadora

Es la auditoría que se realiza con técnicas y procedimientos tradicionales del comportamiento y validez de las transacciones económicas,

administrativas y operacionales de un área de computo.

Otros tipos de auditorías son:

Auditoría a la gestión informática

Su aplicación se enfoca exclusivamente a la revisión de las funciones y actividades de tipo administrativo que se realizan dentro de un centro

de cómputo, tales como:• planeación, • organización, • dirección y

• control del centro.

Otros tipos de auditorías son:

Auditoría al sistema de cómputo

Esta se enfoca únicamente a la evaluación del funcionamiento y uso correctos del equipo de cómputo, su hardware, software y periféricos.

Otros tipos de auditorías son:

Auditoría alrededor de la computadora

Es la que se realiza a todo lo que está alrededor de un equipo de cómputo.

Otros tipos de auditorías son:

Auditoría de la seguridad de los sistemas computacionales

Se realiza a todo lo relacionado con la seguridad de un Sistema de cómputo (no solo el software), sus áreas y personal, así como a las

actividades, funciones y acciones preventivas y correctivas que contribuyan a salvaguardar la seguridad de los equipos

computacionales.

Otros tipos de auditorías son:

Auditoría a los sistemas de redes informáticas

Se realiza a los sistemas de redes informáticas de una empresa, considerando en su evaluación los tipos de redes, arquitectura,

topología, sus protocolos de comunicación, las conexiones, accesos, privilegios, administración, etc.

Otros tipos de auditorías son:

Auditoría integral a los centros de cómputo

Es una revisión global, con el fin de evaluar de forma integral el uso adecuado de su sistema de cómputo.

Otros tipos de auditorías son:

Auditoría ISO-9000 a los sistemas computacionales

Esta auditoría es realizada únicamente por auditores especializados y certificados en las normas y procedimientos ISO-9000.

Otros tipos de auditorías son:

Auditoría outsourcing

Es realizada para evaluar la calidad en el servicio de asesoría o procesamiento externo de información que proporciona una empresa a

otra.

Otros tipos de auditorías son:

Auditoría ergonómica de sistemas computacionales

Se realiza para evaluar la calidad, eficiencia y utilidad del entorno hombre-máquina-medio ambiente

que rodea el uso de sistemas computacionales en una empresa.

Auditoría Informática

INTERNA

EXTERNA

AUDITORIA INTERNA

Es realizada por un auditor que labora en la empresa donde se realiza la misma.“Es trabajador”.

Ventaja

Debido a que el auditor pertenece a la empresa, casi siempre conoce integralmente sus actividades, operaciones y áreas; por lo tanto su revisión puede ser más profunda y con mayor conocimiento de las actividades, funciones y problemas de la institución.

Desventaja

Su veracidad, alcance y confiabilidad pueden ser limitados, debido a que puede haber cierta injerencia por parte de las autoridades de la institución sobre la forma de evaluar y emitir el informe.

AUDITORIA EXTERNA

Es realizada por auditores totalmente ajenos a la empresa, esto permite que el auditor externo utilice su libre albedrío en la aplicación de los métodos, técnicas y herramientas con las cuales hará la evaluación de las actividades y operaciones de la empresa que audita.

VentajaAl no tener ninguna dependencia de la empresa, el trabajo de los auditores es totalmente independiente y libre de cualquier injerencia por parte de las autoridades de la empresa auditada.

DesventajaAl auditor conocer poco la empresa, su evaluación puede estar limitada a la información que pueda recopilar.

Causas de Justificación de Auditorías

1. Desorganización2. Insatisfacción del Cliente3. Económicas-Financieras4. Inseguridad

Causas de Justificación de Auditorías

Desorganización

Uno de los problemas más frecuentes en los centros de informática es la falta de una adecuada organización que permita avanzar al ritmo de las exigencias de las organizaciones.

No coinciden los objetivos de la Informática de la Organización y de la propia Organización.

En estos casos, las responsabilidades suelen centrarse en los estamentos directivos de la Informática. Los objetivos informáticos tendrán que estar subordinados a los generales de la empresa.

Los estándares de productividad se desvían sensiblemente de la media conseguida en forma habitual.

Si no han existido cambios masivos del plantel de la empresa, las causas pueden hallarse en la reestructuración equivocada de algún área o en la modificación de alguna Normativa muy importante.

Causas de Justificación de Auditorías

Insatisfacción del ClienteNo se atienden los pedidos de modificaciones de los usuarios.La referencia a cambios de software en los equipos de usuarios, refrescamiento de paneles, modificación de los archivos que deben ponerse a diario a su disposición, etc.

No se hacen las reparaciones de hardware ni se resuelven incidencias en plazos razonables.Incluso en casos de poca incidencia general, el usuario cree que está fuera de atención permanente.

No se cumplen en todos los casos los tiempos de entrega de resultados en períodos de tiempo acordados.Pequeñas fluctuaciones pueden causar importantes desviaciones en la actividad del usuario, especialmente en los resultados de Aplicaciones críticas sensibles.

Causas de Justificación de Auditorías

Económicas-Financieras

Aumento desmesurado de costos.Analizar dónde se han producido, o si es un incremento general.

Desviaciones Presupuestarias de Significación.En ocasiones se interviene más por aspectos de desviaciones en particular de aspectos muy críticos, más cualitativos que cuantitativos.

Costos y tiempos que insumirán nuevos Proyectos.En estos casos debe auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó el pedido.

Necesidad de justificar inversiones en el Área Informática.La empresa no está absolutamente convencida de tal necesidad y decide evaluar otras opiniones.

Causas de Justificación de Auditorías

Inseguridad

Seguridad Lógica Seguridad Física

Confidencialidad Los datos son propiedad, al principio, de la organización que los genera. Los datos del personal son especialmente confidenciales.

Continuidad del ServicioEs un concepto sumamente importante aún más que la Seguridad. Establece las estrategias de continuidad ante fallas mediante Planes de Contingencia Totales y Locales.En estos casos, existen soluciones de asociación con empresas, para la situación antedicha, averías, catástrofes, sabotajes, etc. Es indispensable la compatibilidad de los elementos de Software y Hardware.

Centro de Cómputos fuera de controlSi tal situación llegara a percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe ser reemplazado ante el mínimo indicio.Por los mismos motivos, la Operatividad de los Sistemas y la Continuidad del Servicio son verdaderos objetivos comunes a cualquier auditoría informática.