conceptos info
TRANSCRIPT
-
7/26/2019 Conceptos Info
1/27
MSc. Juan Carlos Loaiza V
Conceptos Bsicos de Auditora
Informtica
-
7/26/2019 Conceptos Info
2/27
AUDITORA INFORMTICA
Tema Objetivos
1. Conceptos bsicos Conocer qu es la Auditora
Conocer la evolucin de la Auditora y su situacin en Peru
Comprender las diferencias entre la auditora externa e interna
Comprender qu son los controles internos y la necesidad de los mismos en una
organizacin.
2. Necesidad de la Auditora
Informtica
Conocer la importancia que tiene la informacin para las organizaciones y las dificultades
que presenta la gestin y el control de los SI/TI en las organizaciones
Explicar los principios que rigen el establecimiento de un marco de gobierno en una
organizacin y como implantarlo para los SI/TI
Conocer las formas de actuacin del auditor informtico, ya sea auditando la funcin
informtica, los sistemas de informacin o como apoyo a la auditora general en el uso de la
informtica
Comprender cules son las diferencias esenciales entre informacin, sistemas deinformacin y tecnologa de informacin, tanto en sus aspectos cuantitativos como
cualitativos, as como la necesidad de medir la gestin que se realiza en cada uno de ellos
Comprender la necesidad de la existencia de la Auditora de Sistemas de Informacin en
las organizaciones y los distintos roles que la Auditora de Sistemas de Informacin juega en
las mismas
Aprender a redactar los instrumentos ms importantes de comunicacin del gobierno de la
informacin, especialmente procedimientos
-
7/26/2019 Conceptos Info
3/27
3. Controles internos
Explicar los fundamentos de un sistema de control interno en unaorganizacin as como los conceptos y tcnicas de anlisis y control de
riesgos relacionados con los SI/TI.
Explicar COBIT como marco de referencia para la implantacin de
dichos controles.
Comprender la necesidad de implantar controles en los procesos TI en
una organizacin
Ser capaz de identificar qu objetivos de control son aplicables en
casos simples
Ser capaz de redactar una aplicacin de objetivos de control en casos
simples
Evaluar la factibilidad y el riesgo
AUDITORA INFORMTICA
Temas Objetivos
-
7/26/2019 Conceptos Info
4/27
La tecnologa de informacin (IT), segn lo definido por la asociacin de la
tecnologa de informacin de Amrica (ITAA) es el estudio, diseo,
desarrollo, implementacin, soporte o direccin de los sistemas de
informacin computarizados, en particular de software de aplicacin y
hardware de computadoras.Se ocupa del uso de las computadoras y susoftware para convertir, almacenar, proteger, procesar, transmitir y
recuperar la informacin. Hoy en da, el trminotecnologa deinformacin se
suele mezclar con muchos aspectos de la computacin y la tecnologa y el trmino es
ms reconocible que antes. La tecnologa de la informacin puede ser bastante
amplio, cubriendo muchos campos. Los profesionales TI realizan una variedad detareas que van desde instalar aplicaciones a disear complejas redes de computacin
y bases de datos. Algunas de las tareas de los profesionales TI incluyen,
administracin de datos, redes, ingeniera de hardware, diseo de programas y bases
de datos, as como la administracin y direccin de los sistemas completos. Cuando
las tecnologas de computacin y comunicacin se combinan, el resultado es latecnologa de la informacin oinfotech. La Tecnologa de la Informacin (IT) es un
trmino general que describe cualquier tecnologa que ayuda a producir, manipular,
almacenar, comunicar, y/o esparcir informacin.
-
7/26/2019 Conceptos Info
5/27
Las tecnologas de la informacin y la comunicacin (TIC) son un conjunto de servicios,
redes, software y dispositivos que tienen como fin la mejora de la calidad de vida de las
organizaciones y personas dentro de un entorno, y que se integran a un sistema de informacin
interconectado y complementario.Las Tecnologas de la informacin y la comunicacin, son un solo concepto en dos vertientes
diferentes como principal premisa de estudio en la ciencias sociales donde tales tecnologas
afectan la forma de vivir de las sociedades.
http://es.wikipedia.org/wiki/Calidad_de_vidahttp://es.wikipedia.org/wiki/Calidad_de_vidahttp://es.wikipedia.org/wiki/Calidad_de_vidahttp://es.wikipedia.org/wiki/Calidad_de_vidahttp://es.wikipedia.org/wiki/Calidad_de_vidahttp://es.wikipedia.org/wiki/Calidad_de_vida -
7/26/2019 Conceptos Info
6/27
Qu es la informacin?
la informacin puede ser definida como los datos quehan sido recogidos, procesados, almacenados yrecuperados con el propsito de tomar decisionesfinancieras y econmicas o para el soporte de unaproduccin y distribucin eficientes de bienes yservicios.
La informacin tiene que ser considerada como un recursobsico en una organizacin, junto a los talentoshumanos, el capital, las materias primas y dems
equipos. Esclave para la organizacin tanto para su supervivencia
como para mejorar su posicionamiento en los negocios.
-
7/26/2019 Conceptos Info
7/27
Qu es la informacin?
La informacin puede ser clasificada en cuatro clases:Informacin estratgica, Informacin para el control de
gestin, Informacin financiera o contable e Informacin
operativa o tcnica.
Informacin estratgica permite a la alta gerenciadefinir
los objetivos de la organizacin, la cantidad y clase derecursos necesarias para alcanzar los objetivos y las
polticas que gobiernan su uso. La alta gerencia tiene que
tomar decisiones econmicas importantes basadas en lascondiciones de los cambiantes mercados e innovacin
tecnolgica. Parte de esta informacin es externa.
-
7/26/2019 Conceptos Info
8/27
Qu es la informacin?
Informacin para el control de gestin ayuda a los mandosmedios especialmente para tomar decisiones en el perodo actual,normalmente un ao, para que sean consistentes con losobjetivos estratgicos organizativos. Incluyecomparaciones entre los resultados actuales y objetivos,presupuestos y medidas de rendimiento.
Informacin tcnica u operacional se produce por rutina,da a da e incluye datos de contabilidad, control deinventario, programacin de la produccin, planificacinde necesidades de materiales, normas y gestin del
personal, control del flujo de caja, log
stica, ingenier
a,fabricacin, recepcin, distribucin, ventas y todo elconjunto de operaciones que son necesarias para mantenerla empresa en funcionamiento.
-
7/26/2019 Conceptos Info
9/27
Qu es la informacin?
Informacin contable y financiera es la informacinque se genera con el propsito de control e
informacin financieros. Este tipo de informacin se
recoge de acuerdo con Principios Contables
Generalmente Aceptados y son aplicados por losprofesionales contables.
-
7/26/2019 Conceptos Info
10/27
Por qu es valiosa la informacin para la toma de
decisiones?
La calidad de las decisiones tomadas dependedirectamente de la calidad de la informacin que las
soporta.
La toma de decisiones requiere: Un profundo conocimiento de las circunstancias que
rodean un problema.
Conocimiento de las alternativas disponibles y
Estrategias competitivas.
-
7/26/2019 Conceptos Info
11/27
Atributos de la informacin que la hacen valiosa
para la toma de decisiones
Completa: Si la informacin se pierde u oculta al que toma ladecisin, el resultado de la decisin ser pobre.
Exacta: Errores en la entrada, conversin o procesos puededar como resultado conclusiones invalidas que darn lugar adecisiones errneas.
Autorizada: La informacin puede ser semnticamentecorrecta, pero representar transacciones invalidas o noautorizadas.
Auditable: La informacin debe ser seguible a travs de los
documentos fuente o su ejecuci
n seguida mediante sistemasde control monitorizados y preverificados.
Econmica: El coste de producir la informacin debera noexceder su valor cuando se utiliza
-
7/26/2019 Conceptos Info
12/27
Atributos de la informacin que la hacen valiosa
para la toma de decisiones
Adecuada: Informacin especfica debe estar disponiblesolamente para aquellos que la necesitan para asegurar unagestin eficiente. Demasiada informacin irrelevante adisposicin de quin debe tomar la decisin puede ocultar elproceso.
Oportuna o Puntual: La informacin pierde su valor cuandoa quin tiene que tomar la decisin, se le entrega despus deque la necesita.
Segura: La informaci
n debe ser protegida de su difusi
n apersonas no autorizadas, sin ello puede dar lugar a prdidaseconmicas en la organizacin. Debe estar protegida contradestrucciones accidentales o voluntarias
-
7/26/2019 Conceptos Info
13/27
Qu hace que la informacin sea un
recurso crtico para la organizacin?
Los estudios realizados en diversas organizaciones yuniversidades revelan que en los sectores financieros,
productivos y de servicios, una cada total de las
redes y equipos informticos de tres o cuatro das
puede dar lugar a la prdida del negocio.
la prdida de confidencialidad en las bases de datospuede proporcionar a los competidores una ventaja
definitiva
-
7/26/2019 Conceptos Info
14/27
Se reconoce a la informacin como
un recurso crtico?
Con relacin a la proteccin de las instalaciones fsicas y elcontrol de acceso a los sistemas de informacin, hay pocasestadsticas disponibles sobre el uso del software de control deacceso en cuanto a sus polticas de utilizacin y calidad de suadministracin.
Una vez que se es consciente de que tal software puede ser instalado yutilizado de distintas maneras, es ms evidente que poseer estesoftware, por si mismo, no garantiza la seguridad sino que laadministracin es la clave del xito.
Aun cuando el software de control de acceso estinstalado y
bien administrado, hay numerosas vas por las cuales, losprogramadores de sistemas desde dentro y los hackersdesde fuera de la organizacin pueden burlar los mecanismosde seguridad.
-
7/26/2019 Conceptos Info
15/27
Cmo mejorar la gestin y el control
de las T.I.?
Para ello es necesario que las organizaciones puedan disponerde:
Una funcin de auditora informticaindependiente .
Una utilizacin correcta de la informtica en la
prctica de los distintos tipos de auditora,
La definicin de unos objetivos de control deT.I.
-
7/26/2019 Conceptos Info
16/27
Necesidad de la Auditora Informtica
Por tanto la auditora informtica debe analizar:
- La funcin informtica, que engloba el anlisis de la
organizacin, seguridad, segregacin de funciones y
gestin de las actividades de proceso de datos.
Los sistemas informticos, buscando asegurar la
adecuacin de los mismos a los fines para los que
fueron dise
ados.
-
7/26/2019 Conceptos Info
17/27
Objetivos de la Auditora Informtica
Los objetivos de la auditora informtica son:
Verificar el control interno de la funcin informtica.
Asegurar a la alta direccin y al resto de las reas de laempresa que la informacin que les llega es la necesariaen el momento oportuno, y es fiable, ya que les sirve debase para tomar decisiones importantes.
Eliminar o reducir al mximo la posibilidad de prdidade la informacin por fallos en los equipos, en losprocesos o por una gestin inadecuada de los archivos
de datos. Detectar y prevenir fraudes por manipulacin de la
informacin o por acceso de personas no autorizadas atransacciones que exigen trasvases de fondos.
-
7/26/2019 Conceptos Info
18/27
Tipos de uditora informtica
Dentro de la auditora informtica destacan los siguientes tipos (entre otros):
Auditora de la gestin: Referido a la contratacin de bienes y servicios, documentacin de los
programas, etc.
Auditora legal del Reglamento de Proteccin de Datos: Cumplimiento legal de las medidas de
seguridad exigidas por el Reglamento de desarrollo de la Ley Orgnica de Proteccin de Datos.
Auditora de los datos: Clasificacin de los datos, estudio de las aplicaciones y anlisis de los flujogramas.
Auditora de las bases de datos: Controles de acceso, de actualizacin, de integridad y calidad de losdatos.
Auditora de la seguridad: Referidos a datos e informacin verificando disponibilidad, integridad,
confidencialidad, autenticacin y no repudio.
Auditora de la seguridad fsica: Referido a la ubicacin de la organizacin, evitando ubicaciones de
riesgo, y en algunos casos no revelando la situacin fsica de esta. Tambin est referida a las protecciones
externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno. Auditora de la seguridad lgica: Comprende los mtodos de autenticacin de los sistemas de
informacin.
Auditora de las comunicaciones. Se refiere a la auditoria de los procesos de autenticacin en los
sistemas de comunicacin.
Auditora de la seguridad en produccin: Frente a errores, accidentes y fraudes.
http://es.wikipedia.org/wiki/Ley_Org%C3%A1nica_de_Protecci%C3%B3n_de_Datoshttp://es.wikipedia.org/wiki/Ley_Org%C3%A1nica_de_Protecci%C3%B3n_de_Datos -
7/26/2019 Conceptos Info
19/27
Qu hace la Auditora Informtica?
Detectar evidencias de riesgos y/oproblemas en el apoyo informtico a los
procesos de negocios originados por un mal
uso informtico y/o del control.
Sugerir mejoras
-
7/26/2019 Conceptos Info
20/27
ENFOQUES DE LA AUDITORIA INFORMATICA
-
7/26/2019 Conceptos Info
21/27
Auditora alrededor del computador
En este enfoque de auditora, los programas y los archivos de datos no se auditan.La auditora alrededor del computador concentra sus esfuerzos en la entrada de datos y en la salida de informacin. Es elms cmodo para los auditores de sistemas, por cuanto nicamente se verifica la efectividad del sistema de controlinterno en el ambiente externo de la mquina. Naturalmente que se examinan los controles desde el origen de los datospara protegerlos de cualquier tipo de riesgo que atente contra la integridad, completitud, exactitud y legalidad.
La auditora alrededor del computador no es tan simple como aparentemente puede presentarse, puestiene objetivos muy importantes como:
1. Verificar la existencia de una adecuada segregacin funcional.2. Comprobar la eficiencia de los controles sobre seguridades fsicas y lgicas de los datos.3. Asegurarse de la existencia de controles dirigidos a que todos los datos enviados a proceso estn autorizados.4. Comprobar la existencia de controles para asegurar que todos los datos enviados sean procesados.5. Cerciorarse que los procesos se hacen con exactitud.6. Comprobar que los datos sean sometidos a validacin antes de ordenar su proceso.7. Verificar la validez del procedimiento utilizado para corregir inconsistencias y la posterior realimentacin de los datoscorregidos al proceso.8. Examinar los controles de salida de la informacin para asegurar que se eviten los riesgos entre sistemas y el usuario.
9. Verificar la satisfaccin del usuario. En materia de los informes recibidos.10. Comprobar la existencia y efectividad de un plan de contingencias, para asegurar la continuidad de los procesos y larecuperacin de los datos en caso de desastres.
-
7/26/2019 Conceptos Info
22/27
Auditora a travs del computador Este enfoque est orientado a examinar y evaluar los recursos del software, y surge como complemento
del enfoque de auditora alrededor del computador, en el sentido de que su accin va dirigida a evaluar el
sistema de controles diseados para minimizar los fraudes y los errores que normalmente tienen origenen los programas.
Este enfoque es ms exigente que el anterior, por cuanto es necesario saber con cierto rigor, lenguajes de
programacin o desarrollo de sistemas en general, con el objeto de facilitar el proceso de auditaje.
Objetivos de esta auditora
1. Asegurar que los programas procesan los datos, de acuerdo con las necesidades del usuario o dentro delos parmetros de precisin previstos.
2. Cerciorarse de la no-existencia de rutinas fraudulentas al interior de los programas.
3. Verificar que los programadores modifiquen los programas solamente en los aspectos autorizados.
4. Comprobar que los programas utilizados en produccin son los debidamente autorizados por el
administrador.
5. Verificar la existencia de controles eficientes para evitar que los programas sean modificados con finesilcitos o que se utilicen programas no autorizados para los procesos corrientes.
6. Cerciorarse que todos los datos son sometidos a validacin antes de ordenar su proceso
correspondiente.
Informe de Auditora: deber orientarse a opinar sobre la validez de los controles, en este caso de
software, para proteger los datos en su proceso de conversin en informacin.
-
7/26/2019 Conceptos Info
23/27
Auditora con el computador
Este enfoque va dirigido especialmente, al examen y evaluacin de los archivos de datos en mediosmagnticos, con el auxilio del computador y de software de auditora generalizado y /o a la medida.
Este enfoque es relativamente completo para verificar la existencia, la integridad y la exactitud de los
datos, en grandes volmenes de transacciones.
La auditora con el computador es relativamente fcil de desarrollar porque los programas de auditora
vienen documentados de tal manera que se convierten en instrumentos de sencilla aplicacin.
Normalmente son paquetes que se aprenden a manejar en cursos cortos y sin avanzados conocimientosde informtica. Los paquetes de auditora permiten desarrollar operaciones y prueba, tales como:
1- reclculos y verificacin de informacin, como por ejemplo, relaciones sobre nmina, montos de
depreciacin y acumulacin de intereses, entre otros.
2- Demostracin grfica de datos seleccionados.
3- Seleccin de muestras estadsticas.
4- Preparacin de anlisis de cartera por antigedad.
Informe de Auditora: Este informe deber versar sobre la confiabilidad del sistema de control interno
para proteger los datos sometidos a proceso y la informacin contenida en los archivos maestros.
Los tres (3) enfoque de auditora vistos, son complementarios, pues ninguno de los tres, es suficiente
para auditar aplicaciones en funcionamiento.
-
7/26/2019 Conceptos Info
24/27
Auditora Interna informtica
Hoy la auditora interna es:
Una unidad con atribuciones y facultades para auditar
todas las operacionesTIC de las organizaciones.
Se define como una funci
n de valoraci
nindependiente establecida dentro de una organizacinpara examinar y evaluar sus actividades como un
servicio a la organizacin.
Su objetivo es asistir a los miembros de la organizacinen el cumplimiento efectivo de sus responsabilidades
-
7/26/2019 Conceptos Info
25/27
Auditora Interna informtica proporciona anlisis, valoraciones, recomendaciones, consejo e
informacin sobre las actividades revisadas.
El alcance de la auditora interna debe abarcar el examen y
evaluacin de la adecuacin y efectividad del sistema de
control interno y la calidad de la de ejecucin en la
realizacin de las responsabilidades asignadas.
-
7/26/2019 Conceptos Info
26/27
Auditora Externa
La auditora externa se puede definir como unservicio pblico o privado prestado porprofesionales calificados en Auditora Informtica,que consiste en la realizacin, segn normas y
tcnicas espec
ficas, de una revisi
n de las TIC, a finde expresar su opinin independiente sobre si lo
auditado presentan violaciones, irregularidades,fraudes u errores en un momento dado, susresultados y hallazgos durante un periodo
determinado, de acuerdo con las normas de controlinterno, normas ISO, de la Contralora General de laRepblica y otras que sea de competencias.
-
7/26/2019 Conceptos Info
27/27
TAREA
Principios ticos y funciones de un auditor informtico(exposicin 20 minutos)
Normas de control interno Informtico (exposicin 20 min.)
Caso de estudio 2(para el grupo)
Caso de estudio 3(para el grupo)
Resumen de la conferencia anterior (5 min)