introducciÓn a la auditoria de sistemas profesor: luis fernando sierra

INTRODUCCIÓN A LA AUDITORIA DE SISTEMASProfesor: Luis Fernando Sierra

Orígenes • Diferentes autores citan el origen de la auditoría al

antiguo imperio romano, en el que un funcionario del gobierno llamado el auditor, tomaba cuenta de los informes que otros funcionarios y particulares daban al imperio sobre los resultados de negocios a su cargo.

• Etimológicamente el término auditoría se asocia a auditórium que en la antigüedad hacía referencia a una audiencia que inspeccionaba algo que se le presentara.

Definición

• Según [IBM, 1.986], la fiabilidad puede ser entendida como la presencia de tres atributos en el sistema: Integridad, Auditabilidad, y Controlabilidad.

• O como se asumen en la teoría del control: Estabilidad, Observabilidad y Controlabilidad, de forma correspondiente.

Integrabilidad

Auditabilidad

DESCRIPCIÓN CONDICIONES

Controlabilidad

DESCRIPCIÓN CONDICIONES

Ejercicio 1

Dados los conceptos de Integridad, Auditabilidad y Controlabilidad de un Sistema, defina una situación que le permita ejemplificarlos.

TIPOS DE AUDITORIA

Tomado de Muñoz, 2002

Auditoría Informática vs Control Interno Informático

Las funciones del control interno

Control Interno Informático

Las actividades sean realizadas cumpliendo los procedimientos, estándares y normas fijadas por la Dirección de la organización y/o dirección informática, así como los requerimientos legales.

La misión del Control interno es asegurarse de que las medidas obtenidas que se obtiene de los mecanismos implantados por cada responsable sean correctas y válidas.

Principales objetivos del control interno

• Controlar que todas las actividades se realizan se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

• Asesorar sobre el conocimiento de las normas.• Colaborar y apoyar el trabajo de Auditoría informatica.• Definir, implantar y ejecutar mecanismos y controles para

comprobar el logro de los grados adecuados al servicio informático.

Principales objetivos del control interno

Realizar en los diferentes sistemas (centrales, departamentales, redes locales, PC´s, etc) y en entornos informáticos (producción, desarrollo o pruebas) el control de las diferentes actividades operativas sobre:• Cumplimiento de procedimientos y normas. Merece

resaltarse la vigilancia sobre el control de cambios y versiones del software.

• Controles sobre la producción diaria.• Controles sobre la calidad y eficiencia del desarrollo y

mantenimiento del software y del servicio informático.• Controles en las redes de comunicación.

Principales objetivos del control interno

• Controlar que todas las actividades se realizan se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

• Asesorar sobre el conocimiento de las normas.• Colaborar y apoyar el trabajo de Auditoría informatica.• Definir, implantar y ejecutar mecanismos y controles para

comprobar el logro de los grados adecuados al servicio informático.

Auditoria informática• Es el proceso de recoger agrupar y evaluar evidencias

para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines los fines de la organización y utiliza eficientemente los recursos.

• Objetivos de protección de activos e integridad de datos.• Objetivos de gestión que abarcan, no solamente los de

protección de activos, si no también los de eficacia y eficiencia.

El método de la auditoría