auditoría de ti
DESCRIPTION
Elementos a considerar en un auditoría de sistemas de informaciónTRANSCRIPT
-
Auditora de TI
POR QU ES IMPORTANTE AUDITAR LOS SISTEMAS DE
INFORMACIN DE UNA EMPRESA?
-
Es muy probable que al leer el ttulo del tpico,
se habrn preguntado:
...auditora informtica?
... para que necesito estudiar esto si ese no es
mi campo?
...realmente es importante para mi labor
profesional conocer del tema o es slo por un
requisito acadmico?.
Auditora de TI
-
Financiera
Tecnologa de
Informacin
Cumplimiento
Gestin
La auditora de TI es el proceso de
recoger, agrupar y evaluar evidencias
para determinar si un sistema de
informacin salvaguarda los activos,
mantiene la integridad de los datos,
lleva a cabo eficazmente los fines de
la organizacin y utiliza eficientemente
los recursos
Tipo de Auditoras
-
Auditora Interna
Auditora Interna: Evaluacin realizada por un departamento interno responsable dentro de la empresa, para examinar y evaluar algunas funciones y los controles relacionados
Auditora Financiera
Auditora Operativa
Auditora de Cumplimiento de Regulaciones
Auditora de Posibles Fraudes
Auditora de TI
-
Auditora Externa
Auditora Externa: Su principal objetivo es asegurar que los estados financieros emitidos por una empresa, son una representacin fiel de todas sus transacciones y actividades relevantes.
En abril de 2003, la Comisin Nacional Bancaria y de Valores determin que
las empresas registradas en la BMV, preparen su informacin financiera
siguiendo las normas establecidas por el CINIF.
El Consejo Mexicano para la Investigacin y Desarrollo de Normas de
Informacin Financiera (CINIF) publica las Normas de Informacin
Financiera (NIFs ). http://www.cinif.org.mx/
Normalmente es realizada por una empresa consultora: PWC, Deloitte, KPMG
-
Externa vs. Interna
Auditora Externa: Auditor Independiente(CPA)
Requerida por la BMV o la SEC para empresas pblicas
Se le conoce como auditora financiera
Representa los intereses de los accionistas el gran pblico inversionista
Regida por estndares
Auditora Interna: Empleado interno (normalmente CIA o CISA)
Algunas veces la funcin puede ser tercerizada (Outsourcing)
Alcance ms amplio (operaciones, RH, Ventas, Almacenes)
Representa los intereses de la propia organizacin (Consejo de Administracin)
Regida por estndares: ISACA (Information Systems Audit and Control Association)
-
Qu significa CISA? CISM?
CISA - Certified Information Systems Auditor
CISM - Certified Information Systems Manager
www.isaca.org (Information Systems Audit and Control Organization
-
COBIT
COBIT significa Control OBjetives forInformation and related Tecnology
Es una herramienta de gobierno de las tecnologas de informacin diseado por la
ISACA
-
COBIT
La misin del COBIT: buscar, desarrollar, publicar y
promover un autoritario y actualizado conjunto
internacional de objetivos de control de tecnologas de la
informacin, generalmente aceptadas, para el uso diario
por parte de gestores de negocio y auditores
-
COBIT
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL
DETALLADOS
DOMINIOS
Planificacin y organizacin
Adquisicin e implementacin
Soporte de entrega
Monitorizacin
302 Objetivos
11 Objetivos
6 Objetivos
13 Objetivos
4 Objetivos
Total 34 Objetivos
-
Qu es la Auditora de TI?
AUDITORIA
DE TI
Es una disciplina encargada de aplicar un conjunto de tcnicas y procedimientos con el fin de evaluar la seguridad, confiabilidad y eficiencia de los sistemas de informacin.
Adicionalmente se encarga de evaluar la seguridad en los departamentos de TI, la eficiencia en el control de los procesos administrativos y la privacidad de la informacin
-
Para ello necesita
Conjunto de Procedimientos y Tcnicas para evaluar y
controlar, total o parcialmente los elementos informticos
de una organizacin.
Su finalidad es proteger los recursos de sta, verificando
que las actividades que desarrollan estos elementos
informticos cumplan con las normativas de la Empresa
Metodologa
-
Controles insuficientes
Insuficiente involucracin del usuario
Falta de estndares de procesamiento de datos
Exposicin al fraude
Falta de revisiones independientes
Retorno de la inversin inadecuado
Principales preocupaciones de la Gerencia
-
Paradigma de los Auditores
Mucha desconfianza
En muchas ocasiones las personas son reacias a cooperar
Surge el miedo natural: Si vienen los auditores me van a correr
-
Sntomas de cuando es necesario ejecutar la Auditora de TI
Falta de coordinacin y desorganizacin en los servicios de TI
Mala imagen e insatisfaccin de los usuarios
Debilidades econmico-financieras
Irregularidades y violaciones continuas a las polticas de manejo de informacin
-
Etapas de una Auditora de TI
Determinacin de Alcances y Objetivos
Evaluacin Preliminar del Entorno Auditable
Planificacin de la Auditora
Ejecucin de la Auditora
Informe de Auditora
Seguimiento
-
Qu elementos de TI se auditan?
Desarrollo de Sistemas
Segregacin de Funciones
Bases de Datos
Comercio Electrnico
Infraestructura de Redes
Controles de Acceso a Aplicaciones
-
Auditora de Aplicaciones
Evaluacin con alcance enfocado en una aplicacin o un proceso de negocio especfico
Proceso de nmina que abarca diferentes servidores, bases de datos, localidades y empresas
Hojas de clculo que utiliza macros de Excel para generar datos crticos
El nivel de control est directamente relacionado con el grado de riesgo involucrado con un procesamiento
incorrecto o inadecuado de la informacin
-
Administracin
Inputs, Procesamiento, Outputs
Seguridad Lgica
Disaster Recovery Plan
Administracin del Cambio
Soporte a Usuarios
Servicios de Proveedores
Controles Generales
Auditora de Aplicaciones
-
Tips para manejar adecuadamente una Auditora
No es una confrontacin
Estar disponible para atender a los auditores
Conocer perfectamente el Alcance y los Objetivos que busca la Auditora
Involucrar al equipo especficamente requerido
Entender el tipo de informacin que se requiere recolectar
Entender el tipo de informacin que NO se requiere recolectar