auditoria tecnologia informaticaauditor2006.comunidadcoomeva.com/blog/uploads/1.2.conceptos... ·...
Post on 19-Sep-2018
219 Views
Preview:
TRANSCRIPT
Estrategia para la Auditoría de Sistemas de Informa ción
Necesidad de definir una estrategia�Las TIC han acompañado la automatización y el creci miento�La información y los recursos TIC como activos de l as
organizaciones�Dependencia de las TIC
Implicación de la Dirección�Incremento vulnerabilidad de los sistemas�Dar respuesta a la dependencia de la información�Importancia costes e inversiones TIC�Potencial de las TIC para introducir cambios�Desconfianza en los procedimientos automatizados
Objetivos de las Administraciones Públicas:
� Cumplimiento de la legalidad vigente
� Eficacia
� Eficiencia
Auditoría Sistemas de Información > Supervisión de los riesgos de los sistemas de infor mación que pudieran afectar al cumplimiento de la legalida d vigente, la eficiencia y la eficacia de los proceso s soportados por los sistemas de información, en espe cial los de la administración electrónica.
Estrategia para la Auditoría de Sistemas de Informa ción
Esquema Organizativo
Naturaleza del trabajo de auditoría de sistemas de información
�Protección de datos de carácter personal�Control de accesos�Administración Electrónica�Equipamiento informático�Seguridad sistemas�Desarrollo y mantenimiento de aplicaciones�Explotación de sistemas de información�Contratación bienes y servicios TIC�Técnica de sistemas�Continuidad del servicio TIC�Acreditación de confianza
Esquema Organizativo
Naturaleza del trabajo de auditoría de sistemas de información
Acciones proactivasParticipación en el ciclo de control�Asegurar existencia de controles internos razonable s y adecuados
�Divulgar y fomentar las buenas prácticas
�Fomentar la documentación de los sistemas y procedi mientos
�Asesorar en la implementación de pistas de auditorí a
�Asesorar en las salvaguardas de activos
�Asegurar eficiencia gestión recursos
Esquema Organizativo
Naturaleza del trabajo de auditoría de sistemas de información
Auditoría forenseDesafío ante delitos informáticos, garantizando la evidencia digital que se presentase en un proceso judicial.�Recuperar información�Determinar cusa y origen de una situación�Identificar autor(es) acciones ilícitas�Identificar uso inapropiado de los medios de la Org anización
Esquema Organizativo
Naturaleza del trabajo de auditoría de sistemas de información
Apoyo en auditorías externasSupervisión de auditores externos.
Apoyo a otras áreas de AuditoríaAsistencia para la obtención, estructuración y análisis de la información.
Auditor Informático
Áreas de Conocimiento (certificables)
�Técnica o metodología de auditoría informática
�Gestión, planificación y organización de las TIC
�Infraestructura técnica, prácticas operativas y pro tección de activos
�Recuperación de desastres y continuidad de la activ idad
�Desarrollo, adquisición, implementación y mantenimi ento de sistemas
�Evaluación de procesos y gestión de riesgos
Planificación de Actuaciones
Qué auditar� Cumplimiento de requerimientos legales� Sensibilidad de la organización a riesgos / resulta do de análisis� Resultado de auditorías anteriores� Condicionantes de la Organización
Cuándo auditar� Priorizar las actuaciones detectadas y ajustando el alcance a
los recursos disponibles y las demandas de la direc ción� Elaborar el documento de planificación periódica de la unidad
de auditoría� Revisión periódica del plan inicial para incorporar actuaciones
no previstasCómo auditar� Proceso para planificar las actuaciones individuale s
AUDITORÍA
Proceso sistemático de obtención y evaluación objetiva acerca de aseveraciones efectuadas por
terceros referentes a hechos y eventos de naturaleza económica, para testimoniar el grado de
correspondencia entre tales afirmaciones y un conjunto de criterios convencionales, comunicando
los resultados obtenidos a los destinatarios y usuarios interesados
American Accounting Association
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
la AUDITORIA de SI es el
PROCESO de RECOGER, AGRUPAR y EVALUAR
EVIDENCIAS para
DETERMINARsi un SISTEMA INFORMATIZADO
SALVAGUARDA los ACTIVOS,mantiene la INTEGRIDAD de los DATOS,lleva a cabo
los FINES de la ORGANIZACIÓNy UTILIZA EFICIENTEMENTE los RECURSOS
QUE ES LA AUDITORIA TECNOLOGIA INFORMATICA
QUE ES LA AUDITORIA TECNOLOGIA INFORMATICA
Conjunto de procedimientos y técnicas para evaluar total o parcialmente los recursos tecnológicos del negocio, con el objetivo de salvaguardar los activos y recursos, garantizar el desarrollo eficiente de sus actividades acorde con los objetivos estratégicos, con el fin de obtener la eficacia exigida en el marco de la organización.
POR QUE LA AUDITORIA T/IPOR QUE LA AUDITORIA T/I
ASPECTOS RELAVENTES
☺ Cambio cultural del concepto de D.P. Al concepto de S.I.
☺ La tecnología de la informática☺ Desarrollo de la informática☺ Planeación estratégica de sistemas☺ Herramientas de calidad y productividad
del software☺ Control preventivo vs control correctivo☺ Valores morales y participación ética☺ Auditoria - consultoría☺ Independencia y confianza
PORQUE LA AUDITORIA T/IPORQUE LA AUDITORIA T/I
☺ Inversiones cada vez mas cuantiosas en informática.☺ Crecimiento permanente y frecuentemente desordenado.☺ Paso de soporte operativo a soporte cada vez mas Gerencial.☺ Creciente dependencia.☺ Mayores conflictos entre usuarios y la Gerencia de informática.☺ Dispersión de la informática por múltiples centro autónomos de procesamiento.☺ La intervención activa de organización y métodos.
EVOLUCIÓN DE LA INFORMATICA EN LAS EMPRESAS.
PROBLEMAS DE LA AUDITORIA EN T/IPROBLEMAS DE LA AUDITORIA EN T/I
� Falta de documentación.� Escasez de personal idóneo.� Planeación inadecuada. Falta de apoyo y
compromiso de la alta Gerencia.� Técnicas y herramientas inadecuadas.� Capacitación vs tecnología.� Problemas, relaciones y comportamientos.� El control es visto como un obstáculo.� El control se ejerce como vigilancia, poder
desconfianza.
METAS DE LA AUDITORIA T/IMETAS DE LA AUDITORIA T/I
☺Determinar la adherencia de los servicios informáticos con las políticas, objetivos, metas y normas de la organización.
☺ Evaluar la gestión de informática y tecnología por el desempeño y calidad de los servicios prestados.
☺ Evaluar la planeación, dirección y organización del área de informática.
☺ Evaluar la efectiva utilización de los recursos informáticos.
☺ Evaluar que exista una efectiva función de desarrollo.
☺ Evaluar que exista eficiencia en el mantenimiento de los aplicativos.
☺ Evaluar que exista una función de control de calidad.
☺ Evaluar que exista una función de control técnico.
☺ Evaluar que exista una adecuada documentación y estándares.
AUDITORIA T/I UN CAMBIO GENERACIONALAUDITORIA T/I UN CAMBIO GENERACIONAL
☺Auditoria aplicaciones producción
☺Auditoria centro de procesamiento de datos.
☺Auditoria al desarrollo de sistemas de información.
☺Auditoria plan de contingencias.
☺Auditoria adquisición de software.
☺Auditoria a las comunicaciones -telematica.
☺Auditoria bases de datos.
☺Auditoria seguridad física y seguridad lógica.
☺Auditoria aplicativos en mantenimiento.
AUDITORIA DE CAMBIO GENERACIONAL SISTEMASAUDITORIA DE CAMBIO GENERACIONAL SISTEMAS
PASO GESTIONProcesos.Reingeniería.
Planeación estratégicaMejoramiento continuo.
PASO TECNOLOGICOSoftware. Bases de datos.Lenguajes de cuarta generación.Telecomunicaciones.Redes.Satélites.CriptografíaCorreo electrónico.
OBJETIVOS DE LA FUNCIÓN DE AUDITORIA TECNOLOGIA INFORMATICAOBJETIVOS DE LA FUNCIÓN DE AUDITORIA TECNOLOGIA INFORMATICA
Se establece como objetivo fundamental de la auditoria de tecnología informática el proporcionar a la alta gerencia una seguridad razonable de que las aplicaciones en producción, el desarrollo de sistema de información, los equipos de computo y datos, están siendo utilizados adecuadamente, que se operan de acuerdo con los estándares de seguridad y confiabilidad establecidos y que están debidamente controlados para evitar perdidas o su usos indebidos
OBJETIVOS GENERALES
OBJETIVOS DE LA FUNCIÓN DE AUDITORIA TECNOLOGIA INFORMATICAOBJETIVOS DE LA FUNCIÓN DE AUDITORIA TECNOLOGIA INFORMATICA
3. El cumplimiento de las normas, políticas y procedimientos que permitan garantizar que las aplicaciones en producción, los desarrollos de sistemas, y los equipos de sistemas, se operan de acuerdo con los estándares de seguridad y confiabilidad establecidos en la organización
☺ Lograr que en el ambiente informático existan los controles eficientes y efectivos a fin de proveer seguridad razonable sobre:
1. El cumplimiento de las metas y objetivos establecidos porla Alta Gerencia en el área de informática.
2. La utilización eficiente y eficaz de los recursos deinformáticos (Humanos, Equipos y de Aplicación).
OBJETIVOS DE LA FUNCION DE AUDITORIA T/IOBJETIVOS DE LA FUNCION DE AUDITORIA T/I
OBJETIVOS ESPECÍFICOS☺ Revisar y evaluar las normas, políticas y procedimientos establecidos por área de informática para el desarrollo de aplicaciones y en la operación de los sistemas. ☺ Evaluar permanentemente la seguridad existentes en los centros de computo, en los procesamientos de la información y sobre los programas y archivos de datos de las Empresas.☺ Prever situaciones de riesgos y sugerir a la Gerencia los controles suficientes y necesarios que eviten situaciones anormales en las Empresas.☺ Comprobar la seguridad y confiabilidad de la información, administrativa, operativa, financiera, legal etc., desarrollada dentro de la Empresa.☺ Evaluar la calidad del desempeño en la conducción de las responsabilidades asignadas para el área de la informática.☺ Participar en el desarrollo de los sistemas de información o en su compra, a fin de verificar la incorporación o diseño de los controles necesarios para garantizar su operatividad en forma confiable ,eficiente y segura.
HABILIDADES DE UN AUDITOR T/IHABILIDADES DE UN AUDITOR T/I
☺ Asesor-consultor.☺ Comunicador.☺ Retroalimentador.☺ Manejador de conflictos.☺ Gestor de iniciativas.☺ Gestor de cambio.
LIDER
DEFINICION DE AUDITORIA T/IDEFINICION DE AUDITORIA T/I
Ya analizados unos conceptos básicos, definamos lo que es la auditoria tecnología informática: Parte de la auditoria General, enfocada a evaluar los recursos informaticos de las empresa para garantizar la integridad, confidencialidad, exactitud y seguridad de la información para la toma de decisiones.
OTRA DEFINICION DE AUDITORIA T/IOTRA DEFINICION DE AUDITORIA T/I
La Auditoria tecnología informática la podemos definir también como un proceso de investigación, que tiene por objeto evaluar el sistema de control interno informático y la información computarizada, para emitir una opinión independiente sobre la validez técnica del sistema de control vigente y la confiabilidad de la información producida por el sistema. La auditoria en ningún momento implica el diseño,
implantación y ejecución de controles. Su función es eminente evaluativa y asesora.
Dos enfoques de la auditoria.
El enfoque tradicional de la auditoría.
Limitado a los controles contables internos.
No se enfocaba a las actividades claves.
Sólo interesaba al personal financiero.
En la actualidad.
Los SI intervienen en todas las actividades.
El auditor moderno evalúa riesgos y comprueba controles.
Demuestra conocimientos informáticos.
Tipos de auditorias
Financiera
Informática Cumplimiento
Gestión
La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar siun sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a caboeficazmente los fines de la organización y utiliza eficientemente los recursos
Objetivos específicos�Evaluar la intervención de la auditoría en el desarrollo,
implementación y mantenimiento de aplicaciones.
�Evaluar las políticas y criterios para la adquisición y/o desarrollo del software.
�Evaluar los riesgos y fraudes de mayor incidencia al interior de la empresa.
�Examinar la documentación y los procedimientos existentes para determinar su actualización y efectividad.
�Constatar si el personal se encuentra capacitadopara aplicar controles y procedimientos de seguridad.
Auditoría de TI
Objetivos específicos�Comprobar la participación de los usuarios durante
las etapas de análisis, diseño y puesta en marchade las diferentes aplicaciones.
�Evaluar los procedimientos para asignación de claves de acceso, modificaciones, cancelaciones, etc.
�Revisar los estándares de producción y comprobar la calidad de la información producida.
�Verificar la programación de los mantenimientos a las aplicaciones
Auditoría de TI
BENEFICIOS DE LA AUDITORIA T/IBENEFICIOS DE LA AUDITORIA T/I
� Asesora a la Alta Gerencia en la toma de decisiones correspondiente al área de tecnología informática.
� Asesoría al personal de desarrollo de sistemas, en materia de control informático, para diseñar los controles necesarios para garantizar la confiabilidad de los procesos
☺ Examinar y evaluar el sistema de control de las aplicaciones en producción, garantizando confiabilidad y credibilidad de la información suministrada para la toma de decisiones.
☺ Auxilia a los Auditores Financieros y Revisores Fiscales para que puedan cumplir con la función de dar fe publica sobre la razonabilidad de las cifras mostradas en los Estados Financieros del negocio.
BENEFICIOS DE LA AUDITORIA DE SISTEMAS
� Complementa los controles ejercidos por los usuarios internos y externos del s.i.c.
� Promueve el mejoramiento de la cultura de control en la organización
� Previene la ocurrencia de situaciones perjudiciales para la organización
� Genera actitud positiva hacia los controles en los responsables de las operaciones de la empresa
� Promueve la eficiencia operacional en el p.e.d.
� Complementa el control que ejerce la gerencia de sistemas
AUDITORIA DE T/I
Auditoria que comprende la evaluación de todos los aspectos de los sistemas automatizados de procesamiento de información, incluyendo los procesos no automatizados relacionados y las interfaces entre ellos
EFECTOS DE LA INFORMATICA EN LA AUDITORIA
� Nuevas funciones y recursos a auditar
� Aumento de los riesgos por la dependencia de las empresa de sus sistemas
� Incremento drásticos en p.e.d
� Migración de controles al ambiente p.e.d.
� Menos visibilidad de las pistas de auditoria
� Segregación de funciones hombre - maquina
ESTÁNDARES INTERNACIONALES DE AUDITORIA APLICABLES AUDITORIA TI
DECRETO 0302 DE 2915
NAI - Normas de aseguramiento de información
Auditoria y revisión información histórica
Trabajos de aseguramientos diferentes de auditoria información histórica
Las Normas internaciones trabajo de revisión
Control de calidad
Normas internacionales de Auditoría (NlA), (200 hasta el 810).
Normas Internacionales de Trabajos para Atestiguar NITA en español e IASE (3000 al 3402).
Normas Internacionales de Trabajos de RevisiónNITR en español y ISRE (2400 – 2410).
Normas Internacionales de Control de Calidad (NICC) en español e ISQC
CODIGO DE ETICA PROFESIONAL DE LA CONTADURIA
Es decir que entre las Normas Internacionales de Aseguramiento, encontramos las Normas Internacionales de Auditoría cuyo propósito es dar lineamientos o fijar guías sobre los objetivos y fundamentos por los cuales se debe regir un auditor o grupoauditor al momento de hacer la revisión, o valga la redundancia la auditoría a los estados financieros.En total son 36 estándares, algunos de los más importantes son:
¿Qué se entiende por estándares internacionales de auditoría y aseguramiento?
1. NIA 200 –Objetivos globales del auditor independiente y realización de la auditoría de conformidad con las NIA.
2. NIA 210 –Acuerdo de términos del encargo de auditoría.3. NIA 220 –Control de calidad de la auditoría de estados
financieros.4. NIA 230 –Documentación de auditoría.5. NIA 240 –Responsabilidades del auditor en la auditoría de
estados financieros con respecto al fraude.6. NIA 250 –Consideración de las disposiciones legales y
reglamentarias de la auditoría de estados financieros.7. NIA 260 –Comunicación con los responsables del gobierno de
la entidad.8. NIA 265 –Comunicación de las diferencias en el control
interno a los responsables del gobierno y a la Dirección de la entidad.
9. NIA 300 –Planificación de la auditoría de estados financieros.
10. NIA 315 –Identificación y valoración de los riesgos de incorrección material mediante el
conocimiento de la entidad y de su entorno.11. NIA 320 –Importancia relativa o materialidad
en la planificación y ejecución de la auditoría.12. NIA 330 –Respuestas del auditor a los riesgos
valorados.13. NIA 402 –Consideraciones de auditorías
relativas a una entidad que utiliza una organización de servicios.
14. NIA 450 –Evaluación de las incorreciones identificadas durante la realización de la auditoría.
Principios Generales y Responsabilidad.
Evaluación de Riesgo y Respuesta a losRiesgos Evaluados.
ESTÁNDARES INTERNACIONALES DE AUDITORIA APLICABLES AUDITORIA TI
¿Qué se entiende por estándares internacionales de auditoría y aseguramiento?
15. NIA 500 –Evidencia en la auditoría.16. NIA 501 –Evidencia de auditoría –Consideraciones
específicas para determinadas áreas.17. NIA 505 –Confirmaciones externas.18. NIA 510 –Encargos iniciales de auditoría –Saldos de
apertura.19. NIA 520 –Procedimientos analíticos.20. NIA 530 –Muestreo de auditoría.21. NIA 540 –Auditoría de estimaciones contables incluidas las
de valor razonable, y de la información relacionada con revelar.
22. NIA 550 –Partes vinculadas.23. NIA 560 –Hechos posteriores al cierre.24. NIA 570 –Empresa en funcionamiento.25. NIA 580 –Manifestaciones escritas.
26. NIA 600 –Consideraciones de estados financieros de grupos (incluido el trabajo de los auditores de los componentes).
27. NIA 610 –Utilización del trabajo de los auditores internos.28. NIA 620 –Utilización del trabajo de un experto del auditor.
Evidencia de Auditoría
Uso del trabajo de otros
ESTÁNDARES INTERNACIONALES DE AUDITORIA APLICABLES AUDITORIA TI
34. NIA 800 – Consideraciones Especiales –Auditorías de Estados Financieros Preparados de conformidad con un Marco de Información con fines específicos.
35. NIA 805 –Consideraciones especiales –Auditorías de un solo estado financieros o de un elemento, cuenta o partida específicos de un estado financiero.
36. NIA 810 –Encargos para informar sobre estados financieros resumidos.
¿Qué se entiende por estándares internacionales de auditoría y aseguramiento?
29. NIA 700 –Formación de la opinión y emisión del informe de auditoría sobre los estados financieros.
30. NIA 705 –Opinión modificada en el informe emitido por un auditor independiente.
31. NIA 706 –Párrafos de énfasis y párrafos sobre otras cuestiones en el informe emitidos por un auditor independiente.
32. NIA 710 –Información comparativa –Cifras correspondientes de períodos anteriores y estados financieros comparativos.
33. NIA 720 –Responsabilidad del auditor con respecto a otra información incluida en los documentos que contienen los estados financieros auditados.
Conclusiones y dictamen deAuditoría.
Áreas especializadas
ESTÁNDARES INTERNACIONALES DE AUDITORIA APLICABLES AUDITORIA TI
SERVICIOS DE AUDITORIA DE TECNOLOGIA INFORMATICA
Asesoria en:
Diseño de controles
Medidas de seguridad
Normas y estandaresEvaluacion de:
Eficiencia y seguridad de operaciones
Planes de continuidad
Control Interno en aplicaciones
Integridad de Informacion
Cooperacion en:
Normas y estandares
Diseño de S.I
Ejecucion de Pruebas
Implementacion de Software de seguridad
Y Politicas de seguridad
FERNANDO RADA BARONA UNIVERISIDAD SANTIAGO DE CALI
Objetivos del Proyecto (OP)
1Unidades de Trabajo del Usuario (UTU)
2Servicios del Aplicativo (SA)
3
Lo mínimo necesario
4Modelo de Datos (MD)
Cliente
ProductoFactura
Items
5Estándares de Programación (EP)
FERNANDO RADA BARONA UNIVERISIDAD SANTIAGO DE CALI
EL ROL DE LA TECNOLOGÍA
Socios de Negocio
Principal
Web enablePedidos del Cliente
e
RuteoInteligent
e IVR-VRU
PBX-ACD CTIFax Server
Móvil
Agente DataWarehouse
Sistemas deInfromación
Sistemas deGestión
FERNANDO RADA BARONA UNIVERISIDAD SANTIAGO DE CALI
Requerimiento1
PROCESO DE COMPRASInternet
EDI
2
Validacion en el sistema
Correo Electronico
Socios de Negocio
3
4
Sistema inteligente5
Elabora O.C.
Despacha la mercancia6
InternetEDI
EDIInternet
EDI
Factura Electronica
7
Causacion.8
9
Ingreso inventarios
9
Remision electronica
Tesoreria9
Banco.10
Socio de Negocio11
EDI
Internet
EDI
EDI
Internet
EDI
FERNANDO RADA BARONA UNIVERISIDAD SANTIAGO DE CALI
BD empleados activos
BD estructura salarial BD asignación turnos operaciones
Planta de producción
Edificio Administrativo
Sistema liquidación nomina
Integrador
Integrador
InternetEDI
InternetEDI
Sistema información Contable
Sistema de Tesorería
Sistema Financiero – Banco
Sistema Financiero – Cajero Electrónico
Integrador
Integrador
Utilizando el Sistema Financiero
Pago Servicios Públicos - Compras
Registro empleados
top related