• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Clase01
 

Clase01

on

  • 1,429 views

Auditoria Informática

Auditoria Informática

Statistics

Views

Total Views
1,429
Views on SlideShare
1,429
Embed Views
0

Actions

Likes
0
Downloads
135
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Clase01 Clase01 Presentation Transcript

    • INTRODUCCIÓN Y CONCEPTOS BÁSICOS DE LA AUDITORÍA INFORMÁTICA MSc. Martha Chenú
    • Auditoría
      • Tiene una concepción muy amplia, ya que es un examen crítico que se lleva a cabo con la finalidad de evaluar la eficacia y eficiencia de una sección, un organismos, una entidad, etc.
    • Auditoría
      • Etimológicamente proviene del latín auditorius, proviniendo de aquí la palabra auditor, que significa o se refiere a aquel que tiene la virtud de oír .
      • No es solo una actividad mecánica.
      • También es una actividad donde el auditor realizará un análisis crítico cuya finalidad es mejorar la eficiencia y eficacia de la entidad o sección que se está evaluando.
    • Auditoría – Definición (1)
      • “ Examen metódico de una situación relativa a un producto, proceso u organización, en materia de calidad, realizado en cooperación con los interesados para verificar la concordancia de la realidad con lo preestablecido y la adecuación al objetivo buscado.”
    • Auditoría – Definición (2)
      • “ Actividad para determinar , por medio de la investigación, la adecuación de los procedimientos establecidos, instrucciones, especificaciones, codificaciones y estándares u otros requisitos, la adhesión a los mismos y la eficiencia de su implantación.”
    • Tipos de Auditorías
      • Auditoría Interna: e s realizada con recursos humanos y materiales propios de la empresa. La Auditoría es una actividad que existe por decisión propia de la empresa, es decir, que la empresa puede decidir en el momento en que ésta labor puede ser disuelta.
    • Tipos de Auditorías
      • Auditoría Externa: el personal que debe
      • realizarla es un personal que no debe guardar afinidad a la empresa que es auditada, este tipo de Auditoría tiene más consideración debido a que tiene una mayor objetividad por existir un mayor distanciamiento entre el personal auditor y el personal auditado.
    • Qué es la Auditoría Informática? (1)
      • “ Un proceso formal ejecutado por especialistas del área de auditoría y de informática ; se orienta a la verificación y aseguramiento para que las políticas y procedimientos en la organización se realicen de una manera
      • oportuna y eficiente”
    • Qué es la Auditoría Informática?(2)
      • “ Actividades ejecutadas por profesionales del área de informática y de auditoría encaminadas a evaluar el grado de cumplimiento de políticas, controles y procedimientos correspondientes al uso de los recursos de informática por el personal de la empresa (usuarios, alta dirección, etc.) ”
    • Qué es la Auditoría Informática?(3)
      • “ Conjunto de acciones que realiza el personal especializado en las áreas de auditoría y de informática para el aseguramiento continuo de que los recursos de informática operen en un ambiente de seguridad y control eficientes, con la finalidad de proporcionar a la alta dirección la certeza de que la información se maneja con los conceptos básicos de integridad, totalidad, exactitud, confiabilidad, etc.”
    • Qué es la Auditoría Informática?(4)
      • “ Proceso metodológico que tiene el propósito principal de evaluar los recursos (humanos, financieros, tecnológicos, etc.) relacionados con la función de informática para garantizar al negocio que dicho conjunto opere con un criterio de integración y desempeño de niveles altamente satisfactorios”
    • Síntomas de la necesidad de una Auditoría Informática (1)
      • 1. Descoordinación y Desorganización
      • No coinciden los objetivos de la informática de la empresa y la propia empresa.
      • Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.
    • Síntomas de la necesidad de una Auditoría Informática (2)
      • 2. Mala imagen e insatisfacción de los usuarios.
      • No se atienden las peticiones de cambios de los usuarios (ej. Software).
      • No se reparan las averías de hardware ni se resuelven problemas en plazos razonables.
    • Síntomas de la necesidad de una Auditoría Informática (3)
      • 3. Síntomas de debilidades económico-financiero
      • Incremento desmesurado de costos
      • Necesidad de justificación de inversiones informáticas.
      • Desviaciones presupuestarias significativas.
    • Síntomas de la necesidad de una Auditoría Informática (4)
      • 4. Síntomas de inseguridad – Evaluación del nivel de riesgos
      • Seguridad lógica
      • Seguridad física
      • Confidencialidad
    • Auditoría Interna versus Auditoría Externa
      • La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes respecto a la auditoría externa :
      • Puede actuar periódicamente realizando revisiones globales, como parte de su actividad normal.
      • Los auditados conocen estos planes y se habitúan a las auditorías.
      • Con voz, pero a menudo sin voto, Informática trata de satisfacer las necesidades de la empresa.
    • Auditoría Interna versus Auditoría Externa
      • Se puede dar que una institución que cuente con una oficina de auditoría interna solicite los servicios de una auditoría externa,debido a razones que pueden ser:
      • La falta de capacidad técnica, para realizar la auditoría de materia especializada en gran cantidad.
      • Cruzar las informaciones emitidas tanto de la auditoría interna como de la auditoría externa, sobre todo en caso de discrepancias con la opinión general de la empresa.
      • Servir como mecanismo protector de posibles auditorías externas decretadas por la misma empresa.
    • Auditoría Interna versus Auditoría Externa
      • “ La auditoría informática, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matíz “político” ajeno a la propia estrategia y política general de la empresa”
    • Objetivos de la Auditoría Informática
      • Prestar colaboración a la Auditoría de cuentas.
      • Auditoría de los propios sistemas informáticos.
      • Prevención de fraude y obtención de la prueba.
      • La Operatividad.
    • Objetivo (1)
      • Prestar colaboración a la Auditoría de cuentas:
      • Se hace difícil un buen control de la actividad económico-financiera de las instituciones debido al alto grado de informatización de las mismas, por lo que se necesita de la Auditoría Informática para llevar a cabo el propósito.
    • Objetivo (2)
      • Auditoría de los propios sistemas informáticos:
      • En este punto, se debe resaltar no sólo el aspecto del control informático en sí, sino también el desarrollo de la seguridad, economía, adecuación de la infraestructura informática de la empresa, entre otros.
    • Objetivo (3)
      • Prevención de fraude y obtención de la prueba:
      • De esta manera, se persigue el fraude y se puede obtener la prueba del mismo, trayendo como consecuencia que la información que se aprecie no haya sido manipulada de mala fe.
    • Objetivo (4)
      • La Operatividad:
      • La auditoria debe iniciar su actividad cuando los sistemas están operativos. Este objetivo debe conseguirse tanto a nivel global como parcial.
      • “ La operatividad de los sistemas ha de constituir la principal preocupación del auditor informático. Para conseguirla hay que acudir a la realización de Controles Técnicos Generales de Operatividad y Controles Técnicos Específicos de Operatividad ”
    • Controles Técnicos Generales
      • Son los que se realizan para verificar la compatibilidad de funcionamiento simultáneo del Sistema Operativo y el Software de base con todos los subsistemas existentes, así como la compatibilidad del Hardware y del Software instalados.
    • Controles Técnicos Específicos
      • Son controles muy específicos como
      • por ejemplo, parámetros de asignación automática de espacio en disco , que dificulten su utilización posterior por una sección distinta de la que lo generó.
    • Revisión de Controles de la Gestión Informática
      • Las revisiones a realizarse son:
      • Las normas generales de la instalación informática.
      • Los procedimientos generales informáticos.
      • Los procedimientos específicos informáticos.
    • Perfil del Auditor Informático (1)
      • Informático Generalista: con experiencia en ramas distintas. Conocedor de sistemas.
      • Experto en Desarrollo de Proyectos: amplia experiencia como responsable de proyectos.
      • Técnico de Sistemas: Experto en Sistemas Operativos y Software Básico.
      • Experto en Bases de Datos y Administración: con experiencia en mantenimiento de Bases de Datos.
    • Perfil del Auditor Informático (2)
      • Experto en Software de Comunicación: conocimiento profundo de redes.
      • Experto en Gestión de CPD: responsable de algún centro de computo, con experiencia en automatización de trabajos.
      • Técnico Organización: experto organizador y coordinador, especialista en análisis de flujos de información.
      • Técnico de evaluación de costos: contador o equivalente con conocimiento en informática.
    • Elaboración del Plan y de los programas de trabajo
      • En el plan:
      • No se consideran calendarios, porque se manejan recursos genéricos y no específicos.
      • Se establecen los recursos y esfuerzos globales que van a ser necesarios.
      • Se establecen las prioridades de materias auditables.
      • Se estructura las tareas a realizar por cada integrante del grupo.
      • Se expresan las ayudas que el auditor ha de recibir del auditado.
    • Técnicas de trabajo
      • Análisis de la información recabada del auditado.
      • Análisis de la información propia.
      • Cruzamiento de las informaciones anteriores.
      • Entrevistas.
      • Simulación
      • Muestreos.
      • Herramientas (cuestionarios, checklist, estándares, paquetes de auditoria, etc.).
    • Cuestionarios
      • Son preguntas preimpresas que se envían a las personas que el auditor crea conveniente.
      • Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y específicos para cada situación y muy cuidados en su forma y en su fondo.
    •  
    • Entrevista
      • Es una de las actividades personales mas importante del auditor, en ellas se recoge más información que la proporcionada por medios puramente técnicos o respuestas escritas a cuestionarios.
      • El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, de forma sencilla y lo menos tensa posible.
    • Checklist
      • Son un conjunto de preguntas cuidadosamente diseñadas que el auditado debe responder oralmente, ya que superan en riqueza a cualquier otra forma.
      • Checklist de rango
      • Checklist binario
    • Checklist de rango
      • Podría formularse una pregunta cuya respuesta tiene los siguientes significados:
      • Muy deficiente
      • Deficiente
      • Mejorable
      • Aceptable
      • Correcto
    • Checklist de rango
      • Las preguntas deben sucederse sin que parezcan clasificadas previamente. Basta con que el auditor lleve un pequeño guión.
      • Existe personal de vigilancia externa al edificio?
      • No, solamente un guardia por la noche que además atiende otra instalación adyacente.
      • Puntuación: 1
    • Checklist de rango
      • Para la vigilancia interna del edificio, hay al menos un vigilante por turno en las cercanías al centro de computos?
      • Si, pero sube a los otros 4 pisos cuando se le necesita
      • Puntuación: 2
      • Hay salida de emergencia?
      • Si, pero existen cajas apiladas en dicha puerta. Algunas veces las quitan.
      • Puntuación: 2
    • Checklist binaria
      • Está constituida por preguntas con respuesta única y excluyente. Si o no. Aritméticamente equivalen a 1 o 0 respectivamente.
      • Existe normativa para que los usuarios finales comprueben los resultados finales de los programas?
      • Respuesta: 1
    • Trabajo grupal …….