tema 3. auditora de un sistema de informacin
TRANSCRIPT
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
• Presión para incorporar tecnología en estrategias empresariales
• Aumento de la complejidad de los entornos de TI
• Infraestructuras TI fragmentadas
• Brecha de comunicación entre directivos y gerentes TI
• Niveles de servicio de TI decepcionantes tanto por parte de las
funciones internas de TI como los proveedores externos
• Costos de TI fuera de control
• Productividad marginales sobre inversiones en TI
• Inflexibilidad organizacional
• Frustración por parte de los usuarios, dando lugar a soluciones ad hoc
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
• Dependencia creciente de la información y los sistemas que la
gestionan
• Vulnerabilidades crecientes y amplio espectro de amenazas
• Necesidad de cumplir con leyes y regulaciones
• Potencial de las TI para cambiar espectacularmente las
organizaciones y las prácticas empresariales, crear nuevas
oportunidades y reducir costos
• Reconocimiento por parte de muchas organizaciones de los
beneficios potenciales que las TI pueden aportar
La Auditoría de Sistemas de Información La Auditoría de Sistemas de Información nace hace más de 35 años justamente como nace hace más de 35 años justamente como unun
mecanismomecanismo
parapara valorarvalorar y evaluary evaluar
LA CONFIANZALA CONFIANZA
que se puede depositar en los sistemas de que se puede depositar en los sistemas de
informacióninformación
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Es el proceso de recoger, agrupar y evaluar
evidencias para determinar si un sistema
informatizado salvaguarda los activos,
mantiene la integridad de los datos, lleva a
cabo los fines de la organización y utiliza
eficientemente los recursos
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Touriño, M. Auditoría de sistemas de información http://www.ati.es/gt/calidad-software/SIMO00/SIMO2000-Auditoria.ppt
Proceso sistemático de obtención y evaluación
objetiva acerca de aseveraciones efectuadas
por terceros referentes a hechos y eventos de
naturaleza económica, para testimoniar el grado
de correspondencia entre tales afirmaciones y
un conjunto de criterios convencionales,
comunicando los resultados obtenidos a los
destinatarios y usuarios interesados (American
Accounting Association)
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Ofrece a la gerencia empresarial información objetiva e independiente sobre:
El grado de cumplimento de los controles (políticas y procedimientos)
La detección de los riesgos donde existan debilidades significativas de control
Recomendaciones para realizar acciones correctivas
Aquellas tareas de auditoría que deben realizarse para fundamentar el riesgo producido por controles que no se cumplen o son débiles.Touriño, M. Auditoría de sistemas de información http://www.ati.es/gt/calidad-software/SIMO00/SIMO2000-Auditoria.ppt
RIESGOS DE LOS S.I.
Confidencialidad
Pérdida de imagen
Inexactitud de la información
Integridad de la información
Eficiencia y eficacia
Touriño, M. Auditoría de sistemas de información http://www.ati.es/gt/calidad-software/SIMO00/SIMO2000-Auditoria.ppt
Políticas de la organización
Normativa general y planificación
Proceso de los sistemas de información
Desarrollo e implantación de Sistemas
Integridad y confidencialidad
ÁREAS DE ACTIVIDAD de la AUDITORÍA DE S.I.
Touriño, M. Auditoría de sistemas de información http://www.ati.es/gt/calidad-software/SIMO00/SIMO2000-Auditoria.ppt
NORMATIVA GENERAL Y PLANIFICACIÓN
Alcance/objetivo
1) La gerencia empresarial establecerá las políticas y normas para consolidar la implantación de procedimientos, que aseguren el cumplimiento de esas políticas, en los distintos procesos de las tecnologías de la información
Touriño, M. Auditoría de sistemas de información http://www.ati.es/gt/calidad-software/SIMO00/SIMO2000-Auditoria.ppt
NORMATIVA GENERAL Y PLANIFICACIÓN
Alcance/objetivo
2. Los sistemas deben ser adquiridos,
desarrollados, mantenidos, actualizados e
implantados dentro de un entorno de control
que asegure la satisfacción de los objetivos de
la empresa, área o negocio y que preserve los
aspectos de calidad, seguridad e integridad de
la información
Touriño, M. Auditoría de sistemas de información http://www.ati.es/gt/calidad-software/SIMO00/SIMO2000-Auditoria.ppt
Auditoría de SI
Evaluación de riesgos relacionados con el alcance y objetivo de la auditoría de
S.I.
Realización de pruebas
Evaluación de resultados de las pruebas
Conclusiones y Recomendaciones
Touriño, M. Auditoría de sistemas de información http://www.ati.es/gt/calidad-software/SIMO00/SIMO2000-Auditoria.ppt
Calidad del software
Eficaz y eficiente
Potencial reducción del tiempo de la auditoría de sistemas de información
Evidencias del cumplimiento
(auditable y comprobable)
Touriño, M. Auditoría de sistemas de información http://www.ati.es/gt/calidad-software/SIMO00/SIMO2000-Auditoria.ppt
La responsabilidad en último extremo, en una empresa sobre la optimización de la calidad de los SI, y la rentabilidad de los recursos informáticos la tiene:
1. La Dirección de la empresa2. El auditor de SI interno3. El responsable de las Tecnologías de la
Información4. El vendedor del software y el hardware
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Un Auditor de Sistemas de Información debe, entre sus responsabilidades, realizar:
1. La redacción de los procedimientos de control en el área de seguridad lógica
2. La aprobación de nuevos sistemas de gestión
3. Evaluar los riesgos de los sistemas de información
4. Las pruebas del plan de continuidad del negocio
AUDITORÍA DE SISTEMAS DE INFORMACIÓN