Your SlideShare is downloading. ×
0
Auditoria de sistemas
Auditoria de sistemas
Auditoria de sistemas
Auditoria de sistemas
Auditoria de sistemas
Auditoria de sistemas
Auditoria de sistemas
Auditoria de sistemas
Auditoria de sistemas
Auditoria de sistemas
Auditoria de sistemas
Auditoria de sistemas
Auditoria de sistemas
Auditoria de sistemas
Auditoria de sistemas
Auditoria de sistemas
Auditoria de sistemas
Auditoria de sistemas
Auditoria de sistemas
Auditoria de sistemas
Auditoria de sistemas
Auditoria de sistemas
Auditoria de sistemas
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Auditoria de sistemas

14,756

Published on

Published in: Education
0 Comments
6 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
14,756
On Slideshare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
596
Comments
0
Likes
6
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Auditoria de Sistemas Anaya Lisseth V-17.512.749 Herrera Ernesto V- 14.431.701 Tarazona Jeniree V-18.363.560 Tarazona Jessica V-16.669.841 ING. SISTEMAS 003-N Guacara, Abril del 2.010.
  • 2. Introducción <ul><li>El continuo crecimiento de la dependencia hacia los sistemas tecnológicos que soportan los procesos de negocio de las organizaciones, hacen que las organizaciones comprendan y administren los riesgos asociados con la implantación y mantenimiento de las nuevas tecnologías, cada vez más complejas y cambiantes. </li></ul><ul><li>La tecnología seguirá cambiando la forma de hacer negocios, la conectividad de Internet entrando cada día más a nuestras vidas y cambiando la forma de hacer negocios </li></ul><ul><li>Estas nuevas tecnologías y la dinámica de cambio continuo que de ellas se deriva, requieren una función de auditoría informática o de sistemas calificada, competente y objetiva, que pueda entender y evaluar el riesgo en los sistemas de información y conlleve en el mejoramiento del control interno, la eficacia de los procesos y la aplicación de MEJORES PRACTICAS orientadas a una adecuada administración del riesgo tecnológico . </li></ul>
  • 3. Auditoria <ul><li>Inicialmente, la auditoria se limitó a las verificaciones de los registros contables, dedicándose a observar si los mismos eran exactos. </li></ul><ul><li>Por lo tanto esta era la forma primaria: Confrontar lo escrito con las pruebas de lo acontecido y las respectivas referencias de los registros. </li></ul><ul><li>Con el tiempo, el campo de acción de la auditoria ha continuado extendiéndose; aun hay quienes creen y practican auditorias con el único objetivo de observar la veracidad y exactitud de los registros. </li></ul><ul><li>Tomando en cuenta los criterios anteriores podemos decir que la auditoria es la actividad por la cual se verifica la corrección contable de las cifras de los estados financieros; Es la revisión misma de los registros y fuentes de contabilidad para determinar la racionabilidad de las cifras que muestran los estados financieros emanados de ellos. </li></ul>
  • 4. Tipos de Auditoria
  • 5. Auditoria de Sistemas <ul><li>Revisión y evaluación de los Recursos Informáticos y de su ambiente. </li></ul><ul><li>La auditoria de los sistemas de información se define como cualquier auditoria que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes. </li></ul><ul><li>Recursos: </li></ul><ul><ul><li>Software </li></ul></ul><ul><ul><li>Hardware </li></ul></ul><ul><ul><li>Comunicaciones </li></ul></ul><ul><ul><li>Personal (Organización) </li></ul></ul><ul><ul><li>Políticas y Procedimientos </li></ul></ul><ul><ul><li>Controles y Seguridad </li></ul></ul>
  • 6. Objetivos Generales <ul><li>Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados. </li></ul><ul><li>Incrementar la satisfacción de los usuarios de los sistemas computarizados. </li></ul><ul><li>Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles. </li></ul><ul><li>Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. </li></ul><ul><li>Seguridad de personal, datos, hardware, software e instalaciones. </li></ul><ul><li>Apoyo de función informática a las metas y objetivos de la organización. </li></ul><ul><li>Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático. </li></ul><ul><li>Minimizar existencias de riesgos en el uso de Tecnología de información. </li></ul><ul><li>Decisiones de inversión y gastos innecesarios. </li></ul><ul><li>Capacitación y educación sobre controles en los Sistemas de Información. </li></ul>
  • 7. Objetivos Específicos <ul><li>1. Participación en el desarrollo de nuevos sistemas: </li></ul><ul><li>evaluación de controles </li></ul><ul><li>cumplimiento de la metodología. </li></ul><ul><li>2. Evaluación de la seguridad en el área informática. </li></ul><ul><li>3. Evaluación de suficiencia en los planes de contingencia. </li></ul><ul><li>respaldos, preveer qué va a pasar si se presentan fallas. </li></ul><ul><li>4. Opinión de la utilización de los recursos informáticos. </li></ul><ul><li>resguardo y protección de activos. </li></ul><ul><li>5. Control de modificación a las aplicaciones existentes. </li></ul><ul><li>fraudes </li></ul><ul><li>control a las modificaciones de los programas. </li></ul><ul><li>6. Participación en la negociación de contratos con los proveedores. </li></ul><ul><li>7. Revisión de la utilización del sistema operativo y los programas </li></ul><ul><li>utilitarios. </li></ul>
  • 8. Objetivos Específicos (cont.) <ul><li>control sobre la utilización de los sistemas operativos </li></ul><ul><li>programas utilitarios. </li></ul><ul><li>8. Auditoría de la base de datos. </li></ul><ul><li>estructura sobre la cual se desarrollan las aplicaciones... </li></ul><ul><li>9. Auditoría de la red de teleprocesos. </li></ul><ul><li>10. Desarrollo de software de auditoría. </li></ul>
  • 9. Normas de Auditoria <ul><li>Los objetivos de estas normas son los de informar a los auditores del nivel mínimo de rendimiento aceptable para satisfacer las responsabilidades profesionales establecidas en el Código de Ética Profesional y de informar a la gerencia y a otras partes interesadas de las expectativas de la profesión con respecto al trabajo de aquellos que la ejercen. </li></ul><ul><ul><ul><li>S1 Estatuto </li></ul></ul></ul><ul><ul><ul><li>S2 Independencia </li></ul></ul></ul><ul><ul><ul><li>S3 Ética y normas profesionales </li></ul></ul></ul><ul><ul><ul><li>S4 Competencia profesional </li></ul></ul></ul><ul><ul><ul><li>S5 Planeación </li></ul></ul></ul><ul><ul><ul><li>S6 Realización de labores de auditoría </li></ul></ul></ul><ul><ul><ul><li>S7 Reporte </li></ul></ul></ul><ul><ul><ul><li>S8 Actividades de seguimiento </li></ul></ul></ul><ul><ul><ul><li>S9 Irregularidades y acciones ilegales </li></ul></ul></ul><ul><ul><ul><li>S10 Gobernabilidad de TI </li></ul></ul></ul><ul><ul><ul><li>S11 Uso de la evaluación de riesgos en la planeación de auditoría </li></ul></ul></ul><ul><ul><ul><li>S12 Materialidad de la auditoría </li></ul></ul></ul><ul><ul><ul><li>S13 Uso del trabajo de otros expertos </li></ul></ul></ul><ul><ul><ul><li>S14 Evidencia de auditoría </li></ul></ul></ul>
  • 10. Proceso de auditoria de Sistemas <ul><li>Un proceso de auditoria basado en riesgo normalmente incluiría las siguientes tareas: </li></ul><ul><li>Recopilar información y planificar. </li></ul><ul><ul><li>Realizando un conocimiento del negocio. </li></ul></ul><ul><ul><li>Revisando de auditorias anteriores. </li></ul></ul><ul><ul><li>Información financiera reciente. </li></ul></ul><ul><ul><li>Leyes y Normativa aplicable. </li></ul></ul><ul><ul><li>Análisis de los riesgos Inherentes. </li></ul></ul><ul><li>Entender el Ambiente de Control Interno </li></ul><ul><ul><li>Ambiente de control. </li></ul></ul><ul><ul><li>Procedimientos de control. </li></ul></ul><ul><ul><li>Análisis de riesgo de detección. </li></ul></ul><ul><ul><li>Determinación del control de riesgo. </li></ul></ul><ul><li>Efectuar pruebas de cumplimiento. </li></ul><ul><ul><li>Comprobar las políticas y procedimientos. </li></ul></ul><ul><ul><li>Comprobar la segregación de tareas. </li></ul></ul>
  • 11. Proceso de auditoria de Sistemas <ul><li>Efectuar pruebas sustantivas. </li></ul><ul><ul><li>Procedimientos analíticos. </li></ul></ul><ul><ul><li>Pruebas detalladas de balances de cuenta. </li></ul></ul><ul><ul><li>Otros procedimientos sustantivos </li></ul></ul><ul><li>Concluir la Auditoría </li></ul><ul><ul><li>Crear recomendaciones </li></ul></ul><ul><ul><li>Redactar el informe de auditoría </li></ul></ul>
  • 12. <ul><li>El auditor de sistemas podrá enfocar su revisión en distintos aspectos, algunos de los más críticos se describen a continuación </li></ul><ul><li>Administración del departamento de sistemas. </li></ul><ul><li>Se debe comprobar la suficiencia de recursos humanos y la segregación de funciones. </li></ul><ul><li>Control de actividades del área de sistemas. </li></ul><ul><li>Verificar la existencia y seguimiento de un plan estratégico de sistemas que este alineado con el plan estratégico de la organización en su conjunto. Dicho plan debería ser reflejado en planes anuales del área de sistemas que incluirían detalle de las tareas a realizar por el área en función a determinados plazos y recursos. </li></ul><ul><li>Control de tareas de desarrollo. </li></ul><ul><li>Revisión de la existencia, calidad y cumplimiento de normas, políticas y procedimientos de desarrollo de software que permitan llevar a cabo tareas homogéneas entre diferentes proyectos. </li></ul>ASPECTOS DEL MEDIO AMBIENTE INFORMATICO QUE AFECTAN EL ENFOQUE DE LA AUDITORIA
  • 13. <ul><li>Control sobre las tareas de mantenimiento y los cambios a programas. </li></ul><ul><li>Muchas veces las organizaciones se ven afectadas por cambios propiciados por entes regulatorios, de fiscalización, por el ingreso de nuevos servicios y/o productos al mercado, los cuales generan la necesidad de adecuar el sistema a las nuevas necesidades. </li></ul><ul><li>Esto implica la realización de cambios en los programas, los mismos que deben ser controlados, para lo cual se efectúa el diseño, la programación, las pruebas y la puesta en producción, estos aspectos deben ser controlados de manera adecuada. </li></ul>ASPECTOS DEL MEDIO AMBIENTE INFORMATICO QUE AFECTAN EL ENFOQUE DE LA AUDITORIA
  • 14. <ul><li>Seguridad lógica. </li></ul><ul><li>La revisión de la seguridad lógica permitirá emitir una conclusión sobre: </li></ul><ul><ul><ul><li>La administración de perfiles de usuario. </li></ul></ul></ul><ul><ul><ul><li>La administración de passwords. </li></ul></ul></ul><ul><ul><ul><li>Control de privilegios especiales </li></ul></ul></ul><ul><ul><ul><li>La generación de BackUps (Respaldos de datos). </li></ul></ul></ul><ul><ul><ul><li>La generación de Logs. (registro de actividades en el sistema) </li></ul></ul></ul><ul><ul><ul><li>Los virus y otros malwares. </li></ul></ul></ul><ul><ul><ul><li>La existencia y características de un plan de contingencia de la organización. </li></ul></ul></ul><ul><li>Seguridad física. </li></ul><ul><li>Verificar la existencia y eficiencia de elementos que permitan asegurar las condiciones mínimas para un buen funcionamiento de los equipos principales de la organización, inclusive en caso de emergencias, esto puede incluir UPS, generados de energía, aire acondicionado, piso falso, detector de humo y extintores. </li></ul><ul><li>El acceso restringido a hardware y equipo de apoyo crítico. </li></ul>ASPECTOS DEL MEDIO AMBIENTE INFORMATICO QUE AFECTAN EL ENFOQUE DE LA AUDITORIA
  • 15. <ul><li>Estructura de aplicaciones. </li></ul><ul><li>La identificación de sistemas críticos de la organización, el grado de integración entre los diferentes sistemas, procesos en lote, oportunidades de automatización para mejorar eficiencia, etc. </li></ul><ul><li>Estructura de hardware. </li></ul><ul><li>El auditor puede considerar el tipo y cantidad de servidores y equipos personales existentes en la organización, el sistema operativo utilizado y las características de los mantenimientos realizados a los equipos. </li></ul><ul><li>Estructura de comunicaciones. </li></ul><ul><li>En caso de que la organización cuente con sucursales o que realice operaciones a través de Internet, entre los aspectos a ser considerados se destacan, el tipo de comunicación, la velocidad de transferencia, la topología de la red, la cantidad de usuarios y los servicios prestados / recibidos a través de la red. </li></ul><ul><li>Administración de problemas. </li></ul><ul><li>En este caso se evaluaría la existencia de procedimientos o normas aplicables para la realización de cambios de emergencia, la existencia y evaluación del historial de problemas presentados, el uso de una base de conocimiento, etc. </li></ul>ASPECTOS DEL MEDIO AMBIENTE INFORMATICO QUE AFECTAN EL ENFOQUE DE LA AUDITORIA
  • 16. <ul><li>Control de proyectos </li></ul><ul><li>El auditor debe verificar que para los proyectos de TI se lleve a cabo una adecuada técnica o metodología de administración de proyectos a fin de que se produzcan los resultados deseados en tiempo, forma y presupuesto. </li></ul><ul><li>Continuidad de operaciones </li></ul><ul><li>El auditor debe verificar el grado de preparación del área de tecnología ante situaciones contingentes o desastres, a fin de mantener la continuidad de las operaciones de forma aceptable y recuperar la normalidad en tiempos de respuesta adecuados. </li></ul>ASPECTOS DEL MEDIO AMBIENTE INFORMATICO QUE AFECTAN EL ENFOQUE DE LA AUDITORIA
  • 17. <ul><li>1. Entendimiento global e integral del negocio, de sus puntos claves, áreas críticas, entorno económico, social y político. </li></ul><ul><li>2. Entendimiento del efecto de los sistemas en la organización. </li></ul><ul><li>3. Entendimiento de los objetivos de la auditoría. </li></ul><ul><li>4. Conocimiento de los recursos de computación de la empresa. </li></ul><ul><li>5. Conocimiento de los proyectos de sistemas. </li></ul>REQUERIMIENTOS DEL AUDITOR DE SISTEMAS
  • 18. Alcance
  • 19. ¿Preocuparse por auditar SI? Firewalls Firma digital Gobierno Corporativo Gobierno de TI Administración de riesgos Riesgos de TI Control Interno Controles de TI Seguridad Virus Balanced Scorecard Hackers VPNs Estados Financieros Regulaciones Auditor Auditor de SI
  • 20. ¿Qué ha cambiado? <ul><li>Antes Ahora </li></ul>No solo la tecnología, también los procesos de revisión a la misma.
  • 21. Conclusiones <ul><li>Toda empresa, pública o privada, que posean Sistemas de Información medianamente complejos, debe someterse a un control estricto de evaluación. </li></ul><ul><li>El éxito de una empresa depende de la eficiencia de sus sistemas de información. Una empresa puede contar con personal altamente capacitado, pero si tiene un sistema informático propenso a errores, lento, frágil e inestable; la empresa nunca saldrá a adelante. </li></ul><ul><li>La auditoria de sistemas es la indicada para evaluar de manera profunda, una determinada organización a través de su sistema de información automatizado, es importante y relevante. </li></ul><ul><li>El auditor debe estar capacitado para comprender los mecanismos que se desarrollan en un procesamiento electrónico. También debe estar preparado para enfrentar sistemas computarizados en los cuales se encuentra la información necesaria para auditar. </li></ul>
  • 22. <ul><li>La auditoria de Sistemas debe hacerse por profesionales expertos, una auditoria mal hecha puede acarrear consecuencias drásticas para la empresa auditada, principalmente económicas. </li></ul><ul><li>El auditor de sistemas también tiene que correr para estar bien capacitado, necesita recursos de conocimiento al alcance de su mano, el éxito logrado es mejor aun si es acreditado por un tercero reconocido. </li></ul>Conclusiones
  • 23. MUCHAS

×