• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Semana 9   auditoría de sistemas de información
 

Semana 9 auditoría de sistemas de información

on

  • 387 views

 

Statistics

Views

Total Views
387
Views on SlideShare
387
Embed Views
0

Actions

Likes
0
Downloads
22
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Semana 9   auditoría de sistemas de información Semana 9 auditoría de sistemas de información Presentation Transcript

    • Auditoría de Sistemas deInformaciónProf. Ing. Edith Urdaneta
    • Clasificación de los controlesinternos: controles generales Son aquellos que afectan en un centroelectrónico de procesamiento de datos a toda lainformación por igual y a la continuidad de esteservicio. La debilidad o ausencia de ellos puedetener un impacto significativo en la integridady exactitud de los datos. Estos son: Controles operativos y de organización Controles sobre el desarrollo de programas y sudocumentación Controles sobre los programas y los equipos Controles de Acceso
    • Clasificación de los controlesinternos: controles de lasaplicaciones Son aquellos relacionados con la captura,entrada y registro de datos en un sistemainformático, así como los relacionados consu procesamiento, el cálculo y salida de lainformación y su distribución. Ellos son: Controles sobre la captura de datos Controles de proceso Controles de salida y distribución
    • Que establece COBIT COBIT establece una nueva clasificacióndonde se afirma que existen 3 niveles en lastecnologías de información a la hora deconsiderar la gestión de recursos: Actividades y/o tareas > son necesarias paraobtener un resultado cuantificable Procesos > serie de actividades/tareas unidaspor interrupciones naturales Dominios > agrupamiento de los procesos
    • Que establece COBIT:Dominios Los procesos se agrupan dando lugar a losdominios, que se confirman como dominiosde responsabilidad en las estructurasorganizativas de las empresas y estánalineadas con el ciclo de gestión aplicable alos procesos de TI
    • Dominios y procesos de las TI Planificación y organización Adquisición e implementación Suministro y mantenimiento Supervisión
    • Dominios y procesos de las TI:planificación y organización Definir el plan estratégico de la TI Definir la arquitectura de la información Definir la dirección tecnológica Definir la organización y las relaciones Gestión de inversiones Comunicar a la dirección las tendencias Gestión de recursos humanos Asegurarse de los cumplimientos de los requisitos externos Evaluación del riesgo Gestión de proyectos Gestión de la calidad
    • Dominios y procesos de las TI:adquisición e implementación Identificar las soluciones automatizadas Adquirir y mantener el SW Adquirir y mantener la arquitecturatecnológica Desarrollar y mantener procedimientos Instalar y acreditar los sistemas Gestión de los cambios
    •  Definir el nivel de servicio Gestionar los servicios de las terceras partes Gestionar la capacidad y el funcionamiento Asegurarse del servicio continuo Asegurarse de la seguridad de los sistemas Identificar y localizar costes Formación teórica y práctica de los usuarios Asistir y asesorar a los clientes Manejo de la configuración Gestión de problemas e incidentes Gestión de los datos Gestión de las instalaciones Gestión de la explotaciónDominios y procesos de las TI:suministro y mantenimiento
    •  Supervisar los procesos Garantizar la independencia Evaluar el control interno Auditoría independienteDominios y procesos de las TI:supervisión
    • Evaluación de los controles internos Es función del auditor: evaluar el nivel de control interno, juzgar si los procedimientos establecidos sonlos adecuados para salvaguardar el sistema deinformaciónLa naturaleza y la extensión de los controlesque requieren los sistemas de los procesos dedatos variarán de acuerdo con la clase desistema en uso
    • Evaluación de los controles Para evaluar los controles es necesariobuscar evidencia sobre: Terminación completa de todos los procesos Separación física y lógica de: programas, fuentes y objetos, bibliotecas de desarrollo, prueba y producción Existencia de normas y procedimientos parapasar los programas de una biblioteca a otra
    • Evaluación de controles (Cont….) Estadísticas de funcionamiento, que incluya: Capacidad y utilización del equipo central y de losperiféricos Utilización de la memoria Utilización de las telecomunicaciones Las normas del nivel de servicio de losproveedores Los estándares de funcionamiento interno
    • Evaluación de controles (Cont…) Mantenimiento y revisión de los diarios deexplotación (Operation Logs) Realización de mantenimiento periódico a todoslos equipos Evidencia de la rotación de los turnos de losoperadores y de las vacaciones tomadasUna forma de encontrar evidencia es medianteentrevistas con cuestionarios o listas decomprobación (checklist)
    • Establecimiento de Objetivos En función de la importancia de los riesgosque se hayan detectado, el auditorestablecerá los objetivos de la auditoría,cuya determinación concreta permitirádefinir con claridad el alcance de la misma
    • Fases de planificación de laauditoríaPlanificaciónestratégica:requiere verificarel cumplimiento decontroles internosy la identificaciónpreliminar deriesgosSalida: Objetivo dela auditoría yalcancePlanificaciónadministrativa:requiere haberfinalizado laplanificaciónestratégicaSalida: asignaciónde recursos:personal, tiempo,etc.PlanificacióntécnicaEn esta se ha deelaborar elprograma detrabajoSalida: indicaciónde método deauditoría a utilizar(verificación decontroles opruebassustantivas)
    • Fases de planificación de laauditoría: Estratégica Es una revisión global que permite conocerla empresa, el SI y su control interno con laintención de hacer la 1era evaluación deriesgos Según los resultados de esa evaluaciónestablecerán los objetivos de la auditoría yse podrá determinar su alcance y laspruebas que hayan de aplicarse, así como elmomento para realizarlas
    • Fases de planificación de laauditoría: Administrativa• Evidencia > relación con la documentación dela etapa anterior• Personal > de que personal se va adisponer, que conocimientos y experiencia esnecesaria• Calendario > establecer fecha de comienzo yfinalización de la auditoría y determinardonde se realizará la auditoría• Coordinación y Cooperación > debenestablecerse con el auditado sin dejar decumplir el principio de la independencia y quese define el interlocutor con el clienteEn estaetapadebenquedarclaros lossiguientesaspectos:
    • Fases de planificación de laauditoría: Técnica El programa de auditoría debe ser flexible yabierto de tal forma que se puedan irincorporando cambios a medida que se vayaconociendo mejor el sistema El programa y los papeles de trabajo sonpropiedad del auditor debiendocustodiarlos por el tiempo que marque laley
    • Sobre el proceso de auditoría Dedicarle a la planificación el tiemponecesario permite evitar pérdidasinnecesarias de tiempo y de recursos. 1/3 del tiempo en planificarla, 1/3 deltiempo en realizar el trabajo de campo y 1/3en hacer las revisiones y preparar elinforme
    • Realización del trabajo(Procedimientos)Consiste en llevar a cabo las pruebas decumplimiento y sustantivas que se han planificadopara poder alcanzar los objetivos de la auditoría• Asegurarse de que las funciones quesirven de apoyo a la TI se realizan conregularidad, de forma ordenada ysatisfacen los requisitos empresarialesObjetivogeneral• Ver siguientes láminasObjetivosespecíficos
    • Realización del trabajo(Procedimientos): Obj. Específicos Comprender las tareas, las actividadesdel proceso que se esta auditando,ampliando las entrevistas realizadas en laplanificación estratégica de ser necesario Determinar si son o no apropiados loscontroles que están instalados, ampliandolas pruebas realizadas planificaciónestratégica de ser necesario
    •  Hacer pruebas de cumplimiento paradeterminar si los controles que estáninstalados funcionan según lo establecido,de manera consistente y continua. Elobjetivo de estas pruebas consiste en analizarel nivel de cumplimiento que tieneestablecido el “auditado” –se supone que seaneficientes y efectivas-Realización del trabajo(Procedimientos): Obj. Específicos
    •  Hacer pruebas sustantivas para aquellosobjetivos de control con los que no se hayapodido quedar satisfecho de su buenfuncionamiento con las pruebas decumplimiento. Estas pruebas consisten enrealizar pruebas necesarias sobre los datospara que proporcionen la suficienteseguridad a la dirección sobre si se haalcanzado su objetivo empresarialRealización del trabajo(Procedimientos): Obj. Específicos
    • Sobre las pruebas sustantivasHabrá que realizar el máximo númerode pruebas sustantivas si:• No existen instrumentos de medida de loscontroles• Los instrumentos de medida que existen seconsideran que no son los adecuados• Las pruebas de cumplimiento indican que losinstrumentos de medida de los controles no sehan aplicado de manera consistente y continua
    • Sobre las pruebas El auditor debería haber realizado lassuficientes pruebas sobre los resultados delas distintas tareas y actividades de laexplotación del SI como para poder concluirsi los objetivos de control se han alcanzadoo no. Con esa información debe elaborar uninforme y si procede hacer lasrecomendaciones oportunas
    • Informes Una vez realizadas las fases referidas elauditor está en condiciones de producir uninforme en el que exprese su opinión sobreel sistema auditado Las opiniones pueden clasificarse por: tipo de trabajo > las opiniones se puedenexpresar de manera positiva o negativa resultados del trabajo, hay 4 opiniones básicas:
    • Informes: resultado del trabajoFavorableCuando se concluye que el sistema essatisfactorioDesfavorableCuando se concluye que es sistema esabsolutamente insatisfactorioConsalvedadesEl sistema es satisfactorio, aunque tieneciertas debilidades o incumplimientosDenegaciónde opiniónCuando no se tienen los suficienteselementos de juicio para poder opinar
    • RecomendacionesCuando el auditor, durante larealización de la auditoría,detecte debilidades, debecomunicarlas con la mayorprontitud posible.
    • Recomendaciones Un esquema para presentar debilidades esel siguiente: Describir la debilidad Indicar el criterio o instrumento de medida quese ha utilizado Indicar los efectos que puede tener en el SI Describir la recomendación con la que esadebilidad se podría eliminar Respuesta de los directivos
    • Recomendaciones para Informe(ISACA) El informe es el instrumento que se utilizapara comunicar los objetivos de la auditoría,el alcance que va a tener, las debilidades quese detecten y las conclusiones a las que selleguen. El auditor debe considerar en suelaboración las necesidades ycaracterísticas de los destinatarios
    • Recomendaciones para Informe(ISACA) El informe debe contener: Objetivos de la auditoría, y si alguno de ellos no sepuede alcanzar debe expresarse en el informe El informe debe referir cuales NASIGA se hanseguido para realizar el trabajo de auditoría,indicando también cuando no fueron cumplidas ysu posible impacto al no seguirla El alcance, naturaleza y extensión del trabajorealizado, el período de auditoría, el sistema,aplicaciones y procesos auditados
    • Recomendaciones para Informe(ISACA) Debilidades detectadas, y las recomendacionespara mejorar o eliminar esas debilidades Opinión sobre lo auditado: puede ser general oespecífico Entidad que se audita y la fecha de emisión delinforme y Restricciones que fuesen inconvenientes almomento de distribuir el informe
    • La documentación de la auditoría ysu organización Todo el trabajo de auditoría debe quedarreflejado en papeles de trabajo por lossiguientes motivos: Recogen evidencia obtenida a lo largo del trabajo Ayudan al auditor en el desarrollo de su trabajo Ofrecen un soporte de trabajo realizado, para poderutilizarlo en auditoría sucesivas Permite que el trabajo pueda ser revisado porterceros
    • Archivos Los papeles de trabajo que el auditor vaelaborando se pueden organizar en dosarchivos principales: Permanente o continuo Corriente o de la auditoría en curso
    • Archivo permanente Contiene todos aquellos papeles que tienen uninterés continuo, una validez plurianual, tales como: Características de los equipos y las aplicaciones Manuales de los equipos y de las aplicaciones Descripción del control interno Organigramas de la empresa Organigramas del servicio de información y división defunciones Cuadro de planificación plurianual de auditoría Escrituras y contratos Consideraciones sobre el negocio y sector
    • Archivo corriente Se suele dividir en: General > no tienen cabida específica en algunade las áreas/procesos en que hemos dividido eltrabajo de auditoría Área/procesos > se refiere a contar con unarchivo para cada una de las áreas o procesosen que se haya dividido el trabajo e incluir encada archivo todos los documentos que se hayanecesitado para realizar esa tarea/procesoconcreto.
    • Archivo corriente: General Informe del auditor Carta de recomendaciones Acontecimientos posteriores Cuadro de planificación de auditoría corriente Correspondencia con la dirección de laempresa Tiempo q c/persona del equipo ha empleadoen c/u de las áreas/procesos
    • Archivo corriente: Áreas/Procesos Programa de auditoría de c/u de lasáreas/procesos Conclusiones del área/proceso en cuestión Conclusiones del procedimiento en cuestión
    • Conclusiones La labor del auditor de SI es esencial paragarantizar la adecuación de los SI, para elloel auditor debe realizar ateniéndose a lasnormas NASIGA (normas de auditoría de SIgeneralmente aceptadas) como requisitonecesario que garantice la calidad deltrabajo realizado y que la evidencia de estetrabajo quede documentada.
    • Conclusiones A medida que la sociedad se vaya informati-zando y/o vayan surgiendo problemas seránecesario actualizar la normas de auditoría oelaborar otras nuevas para que la sociedadtenga una seguridad razonable de que los SI: funcionan adecuadamente, sus datos se mantienen con la debidaconfidencialidad, cumplen con la legislación vigente y los informes de los distintos auditores se puedecomparar