Your SlideShare is downloading. ×
Auditoria informatica
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Auditoria informatica

4,429

Published on

Auditoria Informatica para los estudiantes de los Programas Carreras de la FADE

Auditoria Informatica para los estudiantes de los Programas Carreras de la FADE

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
4,429
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
228
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Auditoría enInformática Cesar Villa Maura
  • 2. INFORMATICALa Informática es la ciencia aplicada que abarca elestudio y aplicación del tratamiento automático de lainformación, utilizando dispositivos electrónicos ysistemas computacionales. También está definida comoel procesamiento automático de la información.
  • 3. INFORMATICAHARDWARESOFTWAREREDESORGANIZACIONESSEGURIDADESCONTINGENCIAS
  • 4. HardwareCorresponde a todas las partes físicas y tangibles de una computadora: suscomponentes eléctricos, electrónicos, electromecánicos y mecánicos; suscables, gabinetes o cajas, periféricos de todo tipo y cualquier otro elementofísico involucrado; contrariamente al soporte lógico e intangible que es llamadosoftware.
  • 5. Software SoftwareSe refiere al equipamiento lógico o soporte lógico de una computadora digital,y comprende el conjunto de los componentes lógicos necesarios para hacerposible la realización de una tarea específica, en contraposición a loscomponentes físicos del sistema(hardware).
  • 6. Red InformaticaUna red de computadoras, también llamada red de ordenadores o redinformática, es un conjunto de equipos (computadoras y/o dispositivos)conectados por medio de cables, señales, ondas o cualquier otro método detransporte de datos, que comparten información (archivos), recursos (CD-ROM, impresoras, etc.), servicios (acceso a internet, e-mail, chat, juegos),etc.
  • 7. La seguridad informáticaConsiste en asegurar que los recursos del sistema de información (materialinformático o programas) de una organización sean utilizados de la maneraque se decidió y que el acceso a la información allí contenida, así como sumodificación, sólo sea posible a las personas que se encuentren acreditadasy dentro de los límites de su autorización.
  • 8. Estudio y análisis de las políticas de seguridad •Responsabilidades de uso y derechos •Responsabilidad de Uso •Responsabilidad de la empresa •Responsabilidades del Usuario •Aspectos de influencia de las políticas de seguridad •Cuentas, perfiles y autorizaciones •Control de acceso •Uso adecuado de software •Uso adecuado de recursos materiales y hardware •Respaldos
  • 9. Las organizacionesSon sistemas sociales diseñados para lograr metas y objetivos por medio de losrecursos humanos o de la gestión del talento humano y de otro tipo. Estáncompuestas por subsistemas interrelacionados que cumplen funcionesespecializadas. Convenio sistemático entre personas para lograr algúnpropósito específico. Las Organizaciones son el objeto de estudio de la Cienciade la Administración, y a su vez de algunas áreas de estudio de otras disciplinascomo la Sociología, la Economía y la Psicología.
  • 10. Plan de contingenciaUn plan de contingencia es una presentación para tomar acciones específicascuando surjan problemas o una condición que no este considerado en el procesode planeación y ejecución normal.Un plan de contingencia contempla tres tipos de acciones, las cuales son:Prevención: Conjunto de acciones a realizar para prevenir cualquier contingenciaque afecte la continuidad operativa, ya sea en forma parcial o total. Esta vela porreducir el impacto, permitiendo restablecer a la brevedad posible los diferentesaspectos reducidos.Detección: Deben contener el daño en el momento, así como limitarlo tanto comosea posible contemplando todos los desastres naturales y eventos noconsiderados.Recuperación: Abarcan el mantenimiento de partes críticas entre la pérdida delos recursos, así como de su recuperación o restauración
  • 11. Auditoría informática“ LAS PERSONAS NO SUELEN HACER AQUELLO QUE SE LE DICE, SINO AQUELLO DONDE SE LES TIENE CONTROLADO”
  • 12. AuditoríaNorma AENOR X50-109:Examen metódico de una situación relativa a un producto, proceso,organización, en materia de calidad, realizado en cooperación con losinteresados, a fin de verificar la concordancia de la realidad con lopreestablecido, y la adecuación al objetivo buscado.Ley 19/1988 de Auditoría de Cuentas:"... la actividad que, mediante la utilización de determinadas técnicas derevisión, tiene por objeto la emisión de un informe acerca de la fiabilidad de losdocumentos contables auditados; delimitándose, pues, a la mera comprobaciónde que los saldos que figuran en sus anotaciones contables concuerdan con losofrecidos en el balance y en la cuenta de resultados, ...".
  • 13. Auditoría InformaticaProceso metodológico que tiene el propósito principal de evaluar todos losrecursos (humanos, financieros, tecnológicos, etc.) relacionados con la funciónde informática para garantizar al negocio que dicho conjunto opera con criteriode integración y desempeño de niveles altamente satisfactorios para que apoyenla productividad y rentabilidad de la organización.El conjunto de acciones que realiza el personal especializado en las áreas deauditoría y de informática para el aseguramiento continuo de que todos losrecursos de informática operen en un ambiente de seguridad y control eficiente,con la finalidad de proporcionar a la alta dirección o niveles ejecutivos, la certezade que la información que pasa por el área se maneja con los conceptos básicosde integridad, totalidad, exactitud, confiabilidad, etc.La verificación de controles en el procesamiento de la información, desarrollo desistemas e instalaciones, con el objeto de evaluar su efectividad y presentarrecomendaciones a la gerencia.
  • 14. Auditoría InformaticaLa informática no siempre es auditablePara serlo debe basarse en estándares
  • 15. Control InternoEs un proceso que lleva a cabo el Consejo deAdministración, la dirección y el resto de los miembros deuna entidad, con el objeto de proporcionar un gradorazonable de confianza en la consecución de objetivos defiabilidad de la información financiera, eficacia y eficienciade las operaciones y cumplimiento de las leyes y lasnormas aplicables.
  • 16. Fases de la Auditoría informática COMUNICACION DE RESULTADOS EXAMEN DETALLADO DE AREAS CRITICAS REVISION Y EVALUACION DE CONTROLES ESTUDIO PRELIMINAR
  • 17. PROGRAMA DE AUDITORIA FASE I ESTUDIO PRELIMINARACTUACION: AUDITORIA INFORMATICAAMBITO: MUNICIPIO DE LA CIUDAD DE BUENOS AIRESOBJETIVO:OBTENER INFORMACION BASICA SOBRE LAS ACTIVIDADES INFORMATICAS DE LA INSTITUCIONN.1 PROCEDIMIENTOS P/T AUDITOR FECHA1 Elabore un formulario para visita previa2 Elabore las comunicaciones del inicio del examen para todos los funcionarios involucrados en la auditoria3 Entrevista al personal del área de informática4 Obtenga organigramas estructurales y funcionales del área objeto del examen Obtenga información básica utilizando el formulario de visita previa5 Determine el cumplimiento de objetivos y políticas establecidas para la creación del area de TICs6 Obtenga manuales, instructivos, reglamentos, actas y demás documentos que rigen las actividades del área7 Soliciten el plan de actividades y determinen el grado de su cumplimiento8 Solicite un detalle del equipamiento informáticos y equipos de oficina adquirido para el departamento
  • 18. FASE I ESTUDIO PRELIMINAROBTENER INFORMACION BASICA SOBRE LAS ACTIVIDADES INFORMATICAS DE LA INSTITUCION HERRAMIENTAS Y TÉCNICAS •Cuestionarios •Entrevistas •Checklist •Rango •Binaria •Trazas o Huellas •Log
  • 19. PROGRAMA DE AUDITORIA FASE II REVISION Y EVALUACION DE CONTROLESACTUACION: AUDITORIA INFORMATICAAMBITO: MUNICIPIO DE LA CIUDAD DE BUENOS AIRESOBJETIVO:REVISAR Y EVALUAR LOS CONTROLES Y SEGURIDADES IMPLANTADAS EN EL AREA DE TICS.N.1 PROCEDIMIENTOS P/T AUDITOR FECHA1 Revisar el procedimiento seguido para la selección y contratación del personal técnico y establezca las inconsistencias producidas.2 Verifique selectivamente que se cumpla la estructura y funciones del Reglamento Orgánico Funcional aprobado.3 Determine el grado de satisfacción de los usuarios de los sistemas computarizados mediante la aplicación de cuestionarios o listas de chequeo.4 Efectué un análisis sobre la ubicación del área TICs dentro de la institución y determine su conveniencia o no. Complete la recopilación de manuales, instructivos, normas, etc. Y revise5 selectivamente su contenido y aplicación.6 Prepare el informe de cumplimiento de la fase, dirigido al auditor general.7 Aplique otros procedimientos que sean necesarios para el cumplimiento de los objetivos planteados para esta fase.8 Elabore papeles de trabajo para documentar las desviaciones encontradas.
  • 20. Pruebas de Auditoría.Las pruebas que contribuyen a contar con la suficiente evidenciade auditoría, son dos: pruebas de control y pruebas sustantivas. Técnicas de verificación ocular: Técnicas de verificación documental : • Comparación • Observación • Comprobación • Revisión Selectiva • Computación • Rastreo Técnica de verificación física: Técnica de verificación verbal: • Inspección • Indagación Técnica de verificación escrita: • Análisis • Conciliación • Confirmación
  • 21. Los papeles de trabajoEs la documentación que mantiene el auditor sobre los procedimientos aplicados,sobre las comprobaciones parciales realizadas y sobre las conclusionesalcanzadas después del examen. En resumen, constituyen la totalidad de losdocumentos preparados o recibidos por el auditor.En las normas técnicas de auditoría se establecen los objetivos principales de lospapeles de trabajo, que son los siguientes: • Recoger la evidencia obtenida en la ejecución del trabajo, y también la descripción de los medios que han conducido a formar la opinión del auditor. • Ser útiles para efectuar la supervisión del trabajo del equipo de auditoría. • Ayudar al auditor en la ejecución de su trabajo. • Ser útiles para sistematizar y perfeccionar el desempeño de futuras auditorías, • Hacer posible que cualquier persona capacitada pueda supervisar la actuación realizada
  • 22. Marcas de auditoría Las marcas de auditoría son signos o símbolos convencionales que utiliza el auditor,para identificar el tipo de procedimiento, tarea o pruebas realizadas en la ejecución de unexamen. El uso de marcas simples facilitan su entendimiento.
  • 23. PROGRAMA DE AUDITORIA FASE III EXAMEN DETALLADO DE AREAS CRITICASACTUACION: AUDITORIA INFORMATICAAMBITO: MUNICIPIO DE LA CIUDAD DE BUENOS AIRESOBJETIVO:REALIZAR UN EXAMEN DETALLADO DE LAS AREAS CRITICAS Y DESARROLLAR LOS HALLAZGOS CON LAS DEFICIENCIASENCONTRADAS.N.1 PROCEDIMIENTOS P/T AUDITOR FECHA SISTEMAS1 Mediante diagramas de flujo evalúe el control interno de los sistemas identificados como críticos en las fases anteriores.2 Obtenga copias de los reportes y formatos de pantallas ,revise con los usuarios y determine su conformidad o necesidad de incluir cambios.3 Mediante datos supuestos solicite que se corran ciertos programas y establezca la confiabilidad de los resultados. DOCUMENTACION4 Prepare un resumen de los manuales instructivos reglamentos y más normatividad vigente.5 Efectué una verificación selectiva del contenido, actualización y aplicación de cada uno de los documentos. SEGURIDADES6 Verifique selectivamente los respaldos o backups y determine si se encuentre actualizados y si garantizan la integridad de su contenido.7 Analice la frecuencia y el procedimiento adoptado por el centro de computo para la obtención de respaldo. FINALES.8 Elabore las hojas de apuntes de las desviaciones obtenidas incluyendo los elementos de un hallazgo9 Elabore P/T para evidenciar los errores encontrados.
  • 24. Identificar Riesgos, Amenazas y ControlesIdentificar riesgos•Pérdida de información.•Pérdidas económicas por uso indebido de la aplicación.•Daño en los recursos de una aplicación (hardware, software, datos y comunicaciones).•Multas o sanciones.•Interrupciones prolongadas en las operaciones del negocio.Identificar amenazas•Falta de segregación de funciones.•Mantenimiento deficiente de los equipos.•Mantenimiento deficiente de la aplicación.•Accesos inadecuados a los datos y programas.•Falta de capacitación a los usuarios.•Cálculos incorrectos.•Ausencia o desactualización del plan de contingencias.Identificar controles requeridos en cuanto a los riesgos y amenazas•Copias internas y externas de datos y programas.•Acceso restringido a los datos y programas.•Procedimiento para otorgar y eliminar los accesos a los datos y programas.•Bitácoras de auditoria (log´s) y la revisión periódica de éstas.•Pólizas de seguro para los equipos.•Manuales de la aplicación completos y actualizados.•Estándares para el desarrollo y mantenimiento de la aplicación.
  • 25. Comprobacion de Areas CriticasDocumentación. · Manuales de usuario, técnicos y procedimientos.Cambios en los programas. · Solicitud por escrito. · Pruebas por parte de los usuarios. · Actualización de los manuales técnicos y de usuarios · Verificar que los cambios en los programas sean realizados por el personal deinformática o por el proveedor de la aplicación.Copias de respaldo y recuperaciones. · Contenidos de las copias. · Periodicidad de las copias. · Persona responsable. · Custodia, almacenamiento, inventario, rotación de la cinta.Acceso a datos y programas. · Verificar la lista de usuarios que tiene acceso. · Revisar el procedimiento para otorgar y eliminar los accesos. · Analizar la periodicidad de los cambios de los passwords (clave).Capacitación de los usuariosControles en la entrada, proceso y salida
  • 26. HOJA DE APUNTES No. 1 TITULO DEL HALLAZGO: MANUAL TÉCNICO REF: P/TCONDICIÓN.La empresa no dispone del manual técnico del sistema.CRITERIOTodo profesional que desarrolla un nuevo sistema debe elaborar unmanual técnico en donde va plasmado paso a paso las etapas de suproyecto.CAUSAEn caso de que decidieran prescindir de los servicios del profesional quedesarrolló el sistema, quien lo reemplace no tendría como solucionar losproblemas.EFECTO.La empresa se vuelve dependiente del profesional que desarrolló elsistema, por lo tanto se convierte en imprescindible.
  • 27. PROGRAMA DE AUDITORIA FASE IV: COMUNICACIÓN DE RESULTADOACTUACION: AUDITORIA INFORMATICAAMBITO: MUNICIPIO DE LA CIUDAD DE BUENOS AIRESOBJETIVO:COMUNICAR LOS RESULTADOS DE LA AUDITORIAN.1 PROCEDIMIENTOS P/T AUDITOR FECHA1 Preparar una estructura de informe y someta a la aprobación del supervisor del equipo y auditor general.2 En base de lasa hojas de apuntes y de la estructura aprobada elabore el borrador del informe.3 Prepare convocatorias a sesión final de lectura del borrador del informe a todos los funcionarios relacionados con el examen.4 Conjuntamente con el Auditor General y el Supervisor asista a la sesión final de comunicación de resultados y elabore una acta de esta actuación haciendo suscribir a los asistentes.5 Elabore el informe definitivo incluyendo las observaciones vertidas en la sesión final.6 Prepare la documentación necesaria para el tramite del informe.7 Codifique referencia y archive los papeles del trabajo de acuerdo a las disposiciones internas de auditoria,
  • 28. CONVOCATORIA A CONFERENCIA FINAL DE COMUNICACIÓN DE RESULTADOS AUDITORÍA INTERNA CONVOCATORIADe conformidad con lo dispuesto en el reglamento Interno de la Entidad se convoca a los funcionariosy ex - funcionarios del instituto de investigación tecnológica -a-la-conferencia final de Resultados que-se llevará a cabo el día jueves 27 de mayo del presente año, a las 10HOO en las oficina de la Unidadde Auditoria Interna, "ubicadas en el edificio laguna azul, cuarto piso entre !a calle la PrimeraConstituyente y Loja de la ciudad de Riobamba, en la que se dará a conocer en contenido, delBorrador del Informe de la Auditoria a la División de Auditoria . Ing. César Villa Maura. AUDITOR GENERAL
  • 29. INFORME DE AUDITORIA AUDITORIA OPERACIONAL AL AREA DE TICS DEL INSTITUTO DE INVESTIGACIÓN Y TECNOLOGÍA. CAPITULO I INFORMACIÓN INTRODUCTORIAMOTIVO DE LA AUDITORIAOBJETIVO DE LA AUDITORÍAALCANCE DE LA AUDITORIABASE LEGALESTRUCTURA ORGÁNICA DE LA DIVISIÓN DE INFORMÁTICA.FUNCIONES PRINCIPALES, CAPITULO II EVALUACIÓN DE CONTROL INTERNO ORGANIZACIÓN Y FUNCIONES DE LA DIVISIÓN DE INFORMÁTICA.CONCLUSIÓN.RECOMENDACIÓN No. 1
  • 30. Estudio y Análisis de la LegislaciónInformática aplicable al país Constitución de la República Ley de Compañías Código Civil Código de Trabajo Comercio Electrónico Protección de Datos Personales Derecho a la Información Derechos de Autor Acceso ilícito a sistemas y equipos de informática Ley de Propiedad Industrial Valor probatorio de documentos electrónicos en legislación diversa
  • 31. INFORMESugerencias para reforzar el control interno de la entidad y paraoptimizar la operación en su conjunto.Las medidas correctivas adoptadas por la administración para darefecto a sus sugerencias.
  • 32. Conclusión La conclusión es la síntesis objetiva de los atributos del hallazgo, redactadade tal forma que ejerza impacto en la alta dirección.Si lo ve conveniente puede redactar su primer hallazgo y el esfuerzo de laadministración por esclarecerlo.
  • 33. RecomendaciónLas recomendaciones tienen el alcance de sugerencias formuladas por elauditor, para corregir los efectos de los hallazgos, en óptica de mejorarla economicidad, la eficiencia y la efectividad de las operaciones.Estas deben orientarse a evitar que se repitan las causas de los efectoshallados y a rescatar los efectos que sean posibles.Las recomendaciones deben ser practicables, útiles y costeables parafacilitar la toma de decisiones en el proceso de implementación del sistema decontrol interno de la organización auditada.

×