Tema 2
Upcoming SlideShare
Loading in...5
×
 

Tema 2

on

  • 317 views

 

Statistics

Views

Total Views
317
Views on SlideShare
315
Embed Views
2

Actions

Likes
0
Downloads
5
Comments
0

1 Embed 2

http://audsistemasucb.blogspot.com 2

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Tema 2 Tema 2 Presentation Transcript

  • Auditoría informáticaOrganización del departamento de auditoríainformáticaCapítulo 2
  • AntecedentesAnálisis del nacimiento yexistencia de la auditoríainformática desde elpunto de vistaempresarialAnálisis del contextoorganizativo y ambientalde desenvolvimientoempezamosCarmelo España V. -- Auditoría IformáticaContexto Estratégico y Operativo de la OrganizaciónSI y la arquitectura que los soporta, desempeñan un papelimportante como uno de los soportes básicos para lagestión y control del negocioSistemas de Información de la organizaciónda lugar
  • AntecedentesAuditoríainformáticaAuditoríaen generalAuditoríainterna• contabilidad•Control•Veracidad deoperaciones•etcCarmelo España V. -- Auditoría IformáticaComo consecuenciade la necesidad decontrolar y registraroperaciones
  • AntecedentesCarmelo España V. -- Auditoría IformáticaAUDITORÍA INFORMATICA SI Recursos que manejan inversiones que se ponen adisposición de estos recursos parael funcionamiento y obtenciónde resultados esperadosDepartamentode Sistemas deInformaciónGestiona
  • AntecedentesCarmelo España V. -- Auditoría IformáticaAuditoría “alrededor del ordenador”O Auditor verificaba los documentos de entrada al ordenador ylos informes producidos, sin entender lo que pasaba dentro delordenadorO Auditor verificaba la seguridad física (incendios, copias deseguridad, etc.)O Auditor financieroAuditoría “a través del ordenador”O Auditor financiero utiliza el ordenador como medio paraacceder a los datos (a través de paquetes)Auditoría “con el ordenador”O Utilizando sus posibilidades, utilidades, etc.
  • AntecedentesCarmelo España V. -- Auditoría Iformática¿Qué áreas de una Institución sepuede aplicar la AuditoriaInformática?
  • AntecedentesCarmelo España V. -- Auditoría IformáticaLas áreas donde se puede realizar la auditoria informática,pueden ser:O A toda la EntidadO A un departamentoO A un áreaO A una funciónO A una subfunción
  • Clases de AUDITORIA INFORMÁTICA1. ¿Qué clases de Auditorías Informáticas mencionamos la anterior clase?5 minutos de discusiónActividad para la clase
  • Clases de AUDITORIA INFORMÁTICA1. Auditoría de la gestión: Referido a la contratación de bienes y servicios,documentación de los programas, etc.2. Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal delas medidas de seguridad exigidas por el Reglamento de desarrollo de la LeyOrgánica de Protección de Datos.3. Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones yanálisis de los flujogramas.4. Auditoría de las bases de datos: Controles de acceso, de actualización, deintegridad y calidad de los datos.5. Auditoría de la seguridad: Referidos a datos e información verificandodisponibilidad, integridad, confidencialidad, autenticación y no repudio.
  • 6. Auditoría de la seguridad física: Referido a la ubicación de la organización,evitando ubicaciones de riesgo, y en algunos casos no revelando la situación físicade esta. También está referida a las protecciones externas (arcos de seguridad,CCTV, vigilantes, etc.) y protecciones del entorno.7. Auditoría de la seguridad lógica: Comprende los métodos de autenticación de lossistemas de información.8. Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos deautenticación en los sistemas de comunicación.9. Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.Clases de AUDITORIA INFORMÁTICA
  • Auditoría Interna informáticaSe define como una función de valoración independiente establecidadentro de una organización para examinar y evaluar sus actividades comoun servicio a la organización.Su objetivo es asistir a los miembros de la organización en el cumplimientoefectivo de sus responsabilidades.Proporciona análisis, valoraciones, recomendaciones, consejo einformación sobre las actividades revisadas.El alcance de la auditoría interna debe abarcar el examen y evaluación dela adecuación y efectividad del sistema de control interno y la calidad de lade ejecución en la realización de las responsabilidades asignadas.Clases de AUDITORIA INFORMÁTICA
  • Auditoría Interna informáticaClases de AUDITORIA INFORMÁTICANo puede tomar parte en funciones de tipo operativo1. Control de los controlesO Evaluar la adecuación, grado de efectividad y eficiencia del sistemade control interno de una empresa2. Ayudar a la Dirección en el cumplimiento de sus responsabilidades ycontribuir a que se logren en cada área resultados óptimosO Prestar un servicio de asistencia y de crítica constructiva3. Funciones principales con respecto al control internoO Determinar si los Controles Internos proporcionan la protecciónnecesaria, así como la máxima eficacia operativaO Comprobar si los procedimientos operativos y métodos se utilizantal y como está establecido en las normas de la empresa
  • Auditoría Interna informática NO es…Clases de AUDITORIA INFORMÁTICASitio de “retiro” para directivo en desgracia u obsoletosCentro de inquisidores (auditoría policíaca)Agrupación de “delatores”Proveedor de “mano de obra”, para solucionar situaciones deemergencia de otros departamentosDepartamento de filtraciones, obtenidas a través de la actividadauditoraAuxiliar de la auditoría externa o un enemigo permanente de éstaUn “apaga fuegos” para toda situación de emergenciaUn lugar de resentidos y descontentos, que se creen los máscapacitados y todo lo enjuician negativamenteUn departamento sin categoría ni prestigio en la empresa
  • Auditoría Externa informáticaLa auditoría externa se puede definir como un servicio público o privadoprestado por profesionales calificados en Auditoría Informática, queconsiste en la realización, según normas y técnicas específicas, de unarevisión de las TIC, a fin de expresar su opinión independiente sobre si loauditado presentan violaciones, irregularidades, fraudes u errores en unmomento dado, sus resultados y hallazgos durante un periododeterminado, de acuerdo con las normas de control interno, normas ISO,de la Contraloría General de la República y otras que sea decompetencias.Clases de AUDITORIA INFORMÁTICA
  • Auditoría Externa informáticaClases de AUDITORIA INFORMÁTICA Realizada por alguien ajeno a la entidad auditada Se centran en las deficiencias de los controles internos Diferencias con la auditoría interna:O SujetoO Profesional independiente / Empleado de la empresaO ObjetoO Opinión independiente / Control y sugerencias de mejoraO InformeO Dictamen / Sólo recomendaciones internasO ResponsabilidadO Civil e incluso penal / LaboralO ContinuidadO Periódica / Continua
  • Función de auditoría informáticaCarmelo España V. -- Auditoría IformáticaO Evaluación, verificación e implantación oportuna de los controles yprocedimientos que se requieren para el aseguramiento del buen uso yaprovechamiento de la función de informática.O Aseguramiento permanente de la existencia y cumplimiento de los controlesy procedimientos que regulan las actividades y utilización de los recursos deinformática de acuerdo con las políticas de la organización.O Desarrollar la auditoría en informática conforme normas y políticasestandarizadas a nivel nacional e internacional.
  • Función de auditoría informáticaCarmelo España V. -- Auditoría IformáticaO Evaluar las áreas de riesgo de la función de informática y justificar suevaluación con la alta dirección del negocio.O Elaborar un plan de auditoria en informática en los plazos determinados porel responsable de la función.O Obtener la aprobación formal de los proyectos del plan y difundirlos entrelos involucrados para su compromiso.O Administrar o ejecutar de manera eficiente los proyectos contemplados enel plan de la auditoría en informática.
  • Perfiles profesionales de la función de auditoría informáticaCarmelo España V. -- Auditoría Iformáticaelaborar un perfil de un profesional de auditoría Informática.(10 min)Luego, armamos un perfil completo con todos ellos.Actividad para la clase
  • Perfiles profesionales de la función de auditoría informáticaCarmelo España V. -- Auditoría Iformática1. Ser experto auditor (Financiero)2. Entender el diseño y modo de operar el sistema3. Tener conocimientos básicos de técnicas y lenguajes deprogramación4. Estar familiarizados con los sistemas operativos5. Serle factible poder identificar problemas con los formatos yestructuras de bases de datos6. Ser capaz de tender un puente entre en el profesional de tecnologiasde la información7. Saber cuando pedir apoyo de un especialista8. ResponsabilidadesO Auditar aplicaciones financieras y seguridad físicaO Ofrecer soporte con limitaciones a los auditores financieros y externos9. Persona con alto grado de calificación técnica y al mismo tiempoestar integrados en las corrientes organizativas empresariales
  • Perfiles profesionales de la función de auditoría informáticaCarmelo España V. -- Auditoría Iformática10. PerfilO Formación básica con una mezcla de conocimientos deauditoría financiera y de informática en general (p.e. Desarrollode aplicaciones, C.V., gestión de proyectos, BD, S.O., redes, etc.)O Especialización en función del entorno empresarialO Gestión del CambioO Calidad Total, que hará que su trabajo sea reconocido como unelemento valioso dentro de la empresa y que los resultadossean aceptados en su totalidad
  • Dimensiones del Trabajo del Auditor Informático1. Revisión de Controles de las AplicacionesO Determinar que los sistemas producen la información a tiempo,exacta y completa2. Revisión de Integridad de DatosO Compleción, consistencia y exactitud3. Revisión de C.V. de DesarrolloO Determinar la adherencia a los estándares de CV de desarrolloaceptados4. Revisión de Controles Generales de los ProcedimientosOperacionalesO Determinar que las aplicaciones se procesan en un entornocontrolado5. Revisión de SeguridadO Asegurar la protección adecuada de los programas, de los datos yde la instalación de procesamiento de datos
  • 6. Revisión Software de los SistemasO Determinar el cumplimiento con las políticas de la organización7. Revisión de MantenimientoO Determinar que los sistemas se han modificado de acuerdo con laspolíticas de la organización8. Revisión de AdquisiciónO Determinar que los recursos de la organización se están utilizando deforma económica9. Revisión de la Gestión de Recursos del Procesamiento de DatosO Determinar su adecuación en el cumplimiento de los objetivosorganizativos10. Gestión de Auditoría InformáticaO Utilizar de forma efectiva los recursos disponibles de la función de laauditoría informática y para cumplir el requisito de auditoría informática dela organizaciónDimensiones del Trabajo del Auditor Informático
  • Funciones a desarrollar por la auditoría informáticaCarmelo España V. -- Auditoría IformáticaO Verificación del control interno, tanto de las aplicaciones como de lossistemas informáticos, centrales y periféricos.O Análisis de la gestión de los sistemas de información desde un vista deriesgo de seguridad, de gestión y de efectividad de la gestión.O Análisis de la integridad, fiabilidad y certeza de la información através del análisis de las aplicaciones. Esta función, que la vienendesempeñando los auditores informáticos, están empezando ya adesarrollarlas los auditores financieros.O Auditoría del riesgo operativo de los circuitos de información.
  • Funciones a desarrollar por la auditoría informáticaCarmelo España V. -- Auditoría IformáticaAnálisis de la gestión de los riesgos de la información y de laseguridad implícita.Verificación del nivel de continuidad de las operaciones(a realizar conjuntamente con los auditores financieros)Análisis del estado del arte tecnológico de la instalaciónrevisada y de las consecuencias empresariales que undesfase tecnológico pueda acarrear.Diagnóstico sobre el grado de cobertura que dan lasaplicaciones a las necesidades estratégicas y operativas deinformación de la organización
  • Organización de la función de auditoría informáticaO La función de auditoría informática a pasado de ser una funciónmeramente de ayuda al auditor financiero a ser una función quedesarrolla un trabajo y lo seguirá haciendo en el futuro.O Pasa a ser auditor y consultor del ente empresarial, en el que va a seranalista, auditor y asesor en materia de:O SeguridadO Control interno operativoO Eficiencia y eficaciaO Tecnología informáticaO Continuidad de operacionesO Gestión de negociosO No solamente de los sistemas informáticos objetos de estudio, sino delas relaciones e implicaciones operativas que dichos sistemas tienen enel contexto empresarial.
  • O El tipo de papel que debe desempeñar el auditor dentro de unaorganización son:O Su localización debe estar ligada a la localización de la auditoríainterna operativa y financiera, pero con independencia de objetos,de planes de formación y de presupuesto.O La organización operativa tipo debe ser la de un grupoindependiente del de auditoria interna, con una accesibilidad total alde los sistemas informáticos y de información.O La dependencia en todo caso debe ser del máximo responsableoperativo de la organización.O Este personal debe contemplar su titulación de la CISA como unelemento básico para comenzar su carrera como auditorinformático.Organización de la función de auditoría informática
  • O La organización interna tipo de la organización podría ser:O Jefe de departamentoO Gerente o supervisor de auditoría informáticaO Auditor informáticoO El tamaño solo se puede precisar un función de los objetivos de lafunción.O Se podría considerar:O Especialista en el entorno informático a auditarO Especialista en comunicación y/o redesO Responsables de gestión de riesgos operativo y aplicacionesO Responsables de la auditoria de sistemas de informaciónO Especialista para la elaboración de programas de trabajoconjuntos con la auditoría financieraOrganización de la función de auditoría informática
  • Resumidamente, las funciones del Departamento de AuditoriaInformática serán:O Evaluar los sistemas que aseguran el cumplimiento de las políticas,planes, procedimientos, normas y reglamentos, emitiendosugerencias de mejora en los controles internos establecidos.O Vigilar el cumplimiento de las normas e instrucciones establecidaspor la Dirección de la Sociedad, realizando el seguimiento de lasrecomendaciones emitidas.O Revisar y evaluar la fiabilidad del sistema contable establecido yque éste responde a la normativa legal e interna.O Evaluar, asimismo, a través de la auditoria informática, laadecuación, utilidad, eficiencia, fiabilidad y salvaguarda de lainformación mecanizada de la Sociedad así como la organizaciónde los servicios que la elaboran y procesan.Funciones del Departamento de Auditoria
  • O Verificar la existencia de los activos y revisar los medios desalvaguarda de los mismos.O Colaborar con los auditores externos, integrando su labor con losobjetivos del Departamento de Auditoria Interna. El auditor externodebe tener acceso a los informes de auditoría interna y debe serinformado de cualquier asunto que, estando en conocimiento delos auditores internos, pueda afectar a su trabajo. De igual manera,los auditores externos deberán comunicarles cualquier asunto quepudiera afectar a la auditoría interna. Deberán estar coordinadospara evitar duplicidades en el trabajo a realizar, por medio dereuniones periódicas y la puesta en común de técnicas deauditoria, métodos y terminología.O Asistir a los miembros de la organización, proporcionándolesanálisis, recomendaciones, consejo e información concerniente alas actividades revisadas.Funciones del Departamento de Auditoria
  • O Evaluar la posibilidad de establecer (y en caso afirmativo,implantarlo) un sistema de control a distancia para asegurar elmantenimiento de un seguimiento permanente, por mediosinformáticos, de operaciones anómalas, al objeto de prevenir ydetectar rápidamente incidencias de normativa, mediante unmodelo de indicadores ponderado que permita ejercer unseguimiento permanente sobre determinadas situaciones que porsu gravedad pueden perjudicar sustancialmente a la organización opueden provocar pérdidas de rentabilidad o de negocio.O Sugerir las medidas de control interno necesarias para garantizar elcumplimiento de la normativa en la elaboración y publicación de lainformación financiera, proporcionando un grado razonable decontrol en el cumplimiento de fechas y plazos legales de ladocumentación a entregar por parte de Sociedad al OrganismoSupervisor.Funciones del Departamento de Auditoria
  • O Proporcionar un grado razonable de seguridad acerca del cumplimientode las leyes y normativa en vigor aplicable.O Informar a la Dirección de cuantas anomalías o irregularidades sedetecten, recomendando las mejores acciones correctoras.O Evaluar que la organización cuenta con los medios humanos ymateriales que garanticen la adecuada gestión del negocio, a través dela oportuna segregación de funciones.O Elaborar un Código de Conducta a nivel corporativo, que sea aprobadopor el Consejo de Administración de la Sociedad y evaluarperiódicamente el cumplimiento del mismo.O En caso preciso, la ejecución de investigaciones especiales.Funciones del Departamento de Auditoria
  • ¿Cuál podría ser la Organización del departamento deAuditoria Informática y las funciones de cada uno?Organización del Departamento de AuditoriaActividad para la clase
  • La organización interna podría ser:O Jefe del departamento.O Gerente o supervisor de auditoria informática.O Auditor informático.Organización del Departamento de Auditoria
  • Jefe del departamento.O Desarrolla el plan operativo del departamento, las descripciones de lospuestos de trabajo del personal a su cargo, las planificaciones deactuación a un año, los métodos de gestión del cambio en su función ylos programas de formación individualizados, así como gestiona losprogramas de trabajo y los trabajos en si, los cambios en los métodosde trabajo y evalúa la capacidad de las personas a su cargo.Organización del Departamento de Auditoria
  • Gerente o supervisor de auditoria informática.O Trabaja estrechamente con el jefe del departamento en las tareasoperativas diarias. Ayuda en la evaluación del riesgo de cada uno de lostrabajos, realiza los programas de trabajo, dirige y supervisa directamente alas personas en cada uno de los trabajos de los que es responsable.O Realiza la formación sobre el trabajo.O Es responsable junto con su jefe de la obtención del mejor resultado deltrabajo para el auditado, entroncando los conceptos de valor añadido ygestión del cambio dentro de su trabajo.O Es el que mas “vende” la función con el auditado.Organización del Departamento de Auditoria
  • Auditor informático.O Son responsables para la ejecución directa del trabajo.O Deben tener una especialización genérica, pero también unaespecifica, según se comento anteriormente.O Su trabajo consistirá en la obtención de información, realización depruebas, documentación del trabajo, evaluación y diagnostico deresultados.Organización del Departamento de Auditoria
  • El tamaño del departamento solo se puede precisar en función de los objetivosde la función, para una organización tipo, el abanico de responsabilidadesO Debería cubrir:􀁺 Especialista en el entorno informático a auditar y en gestión de basesde datos.􀁺 Especialista en comunicaciones y/o redes.􀁺 Responsable de gestión de riesgo operativo y aplicaciones􀁺 Responsable de la auditoria de sistemas de información, tanto enexplotación como en desarrollo.􀁺 En su caso, especialista para la elaboración de programas de trabajoconjuntos con la Auditoria Financiera.Tamaño del Departamento de Auditoria
  • Existe una pregunta que siempre se hace y es difícil decontestar:O Cuantos auditores necesitamos?O Existe una metodología que nos puede ayudar...?La respuesta es SI y una de ellas es la Matriz de Riesgos.Tamaño del Departamento de Auditoria
  • Actividades1. Crucigrama(15 min)2. Cuestionario
  • TAREA1. Investigar sobre la Matriz de Riesgos. (10 min)2. Qué es ISO 17799, ISO 15333, ISO 9000, BCP, ERM, ACL,WIN IDEA. (exposición 20 minutos)3. Resumen del tema 2 (5 min)