Presentación auditoria informatica

3,270 views

Published on

Auditoria Informatica
Tipos
Perfil del auditor

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
3,270
On SlideShare
0
From Embeds
0
Number of Embeds
29
Actions
Shares
0
Downloads
129
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Presentación auditoria informatica

  1. 1. MAESTRIA EN ADMINISTRACIÓN AUDITORIA ADMINISTRATIVA “AUDITORIA INFORMATICA” MAESTRO: HECTOR ALEJANDRO ZAMORA ESTRADA ALUMNAS: ADRIANA DELGADO GUTIERREZ ADRIANA GOMEZ LEYVA MARTINEZ
  2. 2. Auditoria InformáticaLa auditoría informática es el proceso mediante el cual se recoge, agrupa y evalúa todo tipo de evidenciaspara determinar si un Sistema de Información, trabaja adecuadamente, con los parámetros establecidos,mantiene la integridad y seguridad de los datos, llevando eficazmente los fines de la organización.Objetivos.•El control total de todo lo relacionado con la informática empresarial.•El estudio de la eficiencia de los Sistemas Informáticos.•La verificación del cumplimiento de los parámetros que se establecieron.•La revisión de la eficaz gestión de los recursos informáticosPerfil de Auditor InformáticoEs un profesional dedicado al análisis de sistemas de información que está especializado en alguna de lasramas de la auditoría informática, que tiene conocimientos generales de los ámbitos en los que ésta semueve, además de contar con conocimientos empresariales generales.
  3. 3. Perfiles profesionales de la función de Auditoría InformáticaEl auditor informático debe ser una persona con un alto grado de calificación técnica y al mismo tiempo estar integrado a lascorrientes organizativas empresariales. Se deben contemplar las siguientes características de un perfil profesional adecuadoy actualizado:Se deben poseer una mezcla de conocimientos básicos de auditoría financiera y de informática en general. En el áreainformática, se debe tener conocimientos básicos de:•Administración del Departamento de Informática•Análisis de riesgos en un entorno informático•Sistemas operativos•Telecomunicaciones•Administración de Bases de Datos•Redes locales•Seguridad física•Operación y planificación informática•Administración de seguridad de los sistemas (planes de contingencia)•Administración del cambio•Administración de Datos•Automatización de oficinas (ofimática)•Comercio electrónico•Encriptación de datosDebe conocer técnicas de administración de empresas y de cambio, ya que las recomendaciones y soluciones que aportedeben estar alineadas a los objetivos de la empresa y a los recursos que se poseen.Debe tener un enfoque de Calidad Total, lo cual hará que sus conclusiones y trabajo sean reconocidos como un elementovalioso dentro de la empresa y que los resultados sean aceptados en su totalidad.
  4. 4. Auditoría:La auditoría nace como un órgano de control de algunas instituciones estatales y privadas. Su funcióninicial es estrictamente económico-financiero, y los casos inmediatos se encuentran en las peritacionesjudiciales y las contrataciones de contables expertos por parte de Bancos Oficiales.La función auditora debe ser absolutamente independiente; no tiene carácter ejecutivo, ni sonvinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisiones pertinentes. La auditoríacontiene elementos de análisis, de verificación y de exposición de debilidades y disfunciones. Aunquepueden aparecer sugerencias y planes de acción para eliminar las disfunciones y debilidades antedichas;estas sugerencias plasmadas en el Informe final reciben el nombre de Recomendaciones.Las funciones de análisis y revisión que el auditor informático realiza, puede chocar con la psicología delauditado, ya que es un informático y tiene la necesidad de realizar sus tareas con racionalidad y eficiencia.
  5. 5. Auditoría Interna y Auditoría Externa:La auditoría informática puede actuar periódicamente realizandoRevisiones globales, como parte de su Plan Anual y de su actividadnormal. Los auditados conocen estos planes y se habitúan a lasAuditorías, especialmente cuando las consecuencias de lasRecomendaciones habidas benefician su trabajo. La auditoriapuede ser interna o externa.La auditoría interna es la realizada con recursos materiales ypersonas que pertenecen a la empresa auditada. Los empleadosque realizan esta tarea son remunerados económicamente. Laauditoría interna existe por expresa decisión de la Empresa, o sea,que puede optar por su disolución en cualquier momento.La auditoría externa es realizada por personas afines a la empresaauditada; es siempre remunerada. Se presupone una mayorobjetividad que en la Auditoría Interna, debido al mayordistanciamiento entre auditores y auditados.
  6. 6. Alcance de la Auditoría Informática:El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoríainformática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el InformeFinal, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sinocuales materias fronterizas han sido omitidas. Ejemplo: ¿Se someterán los registros grabados a un controlde integridad exhaustivo*? ¿Se comprobará que los controles de validación de errores son adecuados ysuficientes*? La indefinición de los alcances de la auditoría compromete el éxito de la misma.*Control de integridad de registros:Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicación no tiene integrado unregistro común, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicación no funcionaríacomo debería.*Control de validación de errores:Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente.
  7. 7. Características de la Auditoría Informática:La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real dela misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas,materia de la que se ocupa la Auditoría de Inversión Informática.Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe laexistencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna desus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: seestá en el campo de la Auditoría de Organización Informática.Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial.De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática deuna empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, ode inversiones, o de seguridad, o alguna mezcla de ellas.
  8. 8. Tipos y clases de Auditorías:Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoría Informática: deExplotación, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos, de seguridad informática. Estasson las Áreas Especificas de la Auditoría Informática más importantes.Cada Área Especifica puede ser auditada desde los siguientes criterios generales:•Desde su propio funcionamiento interno.•Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del grado de cumplimiento de lasdirectrices de ésta.•Desde la perspectiva de los usuarios, destinatarios reales de la informática.•Desde el punto de vista de la seguridad que ofrece la Informática en general o la rama auditada.Estas combinaciones pueden ser ampliadas y reducidas según las características de la empresa auditada.
  9. 9. La auditoria informática de explotación Informática se ocupa de producir resultados informáticas detodo tipo: listados impresos, archivos magnéticos para otros informáticos, órdenes automatizadas paralanzar o modificar procesos industriales, etc.La auditoria informática de sistemas es propia de lo que se conoce como "Técnica de Sistemas "en todassus facetas. En la actualidad, la importancia creciente de las telecomunicaciones ha propiciado que lasComunicaciones, Líneas y Redes de las instalaciones informáticas, se auditen por separado, aunque formenparte del entorno general de "Sistemas“:a) Sistema Operativo, b) Software básico, c) Software de teleproceso, d) Tunning,e) Optimización de los sistemas y subsistemas, f) Administración de los datos,g) Investigación y desarrolloLa auditoria informática de comunicaciones y redes constituyen las RedesNodales, Líneas, Concentradores, Multiplexores, Redes Locales, etc., no son sino el soporte físico-lógico delTiempo Real. El lector debe reflexionar sobre este avanzado concepto, que repetimos: Las Comunicacionesson el Soporte Físico-Lógico de la Informática en Tiempo Real.La auditoria informática de proyectos es la importancia de la metodología utilizada en el desarrollo de losProyectos informáticos. Esta metodología debe ser semejante al menos en los proyectos correspondientesa cada área de negocio de la empresa, aunque preferiblemente debería extenderse a la empresa en suconjunto.La auditoria de seguridad informática comprende la seguridad física se refiere a la protección del Hardwarey de los soportes de datos, así como los edificios e instalaciones que los albergan. Contempla las situacionesde incendios, sabotajes, robos, catástrofes naturales, etc. Igualmente, a este ámbito pertenece la política deseguros. La seguridad lógica se refiere a la seguridad de uso del software, a la protección de losdatos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información.
  10. 10. Herramientas y Técnicas para la Auditoría Informática: Cuestionarios: Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias.Entrevistas:El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas:•Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad.•Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto desometimiento a un cuestionario.•Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unasfinalidades concretas.La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge másinformación, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por lasrespuestas escritas a cuestionarios.
  11. 11. Checklist: El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas "normales", que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists. Los cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofía" de calificación o evaluación. La cumplimentación de la Checklist no debe realizarse en presencia del auditado.Trazas y/o Huellas:[La auditoría financiero-contable convencional emplea trazas con mucha frecuencia. Son programasencaminados a verificar lo correcto de los cálculos de nóminas, primas, etc.].*Log:El log vendría a ser un historial que informa que fue cambiando y cómo fue cambiando (información). Lasbases de datos, por ejemplo, utilizan el log para asegurar lo que se llaman las transacciones. El log te permiteanalizar cronológicamente que es lo que sucedió con la información que está en el Sistema o que existedentro de la base de datos.
  12. 12. Software de Interrogación:Actualmente los productos Software especiales para la auditoría informática se orientan principalmentehacia lenguajes que permiten la interrogación de ficheros y bases de datos de la empresa auditada. Estosproductos son utilizados solamente por los auditores externos, por cuanto los internos disponen delsoftware nativo propio de la instalación.
  13. 13. PAGINAS CONSULTADASPattini, M., 2009, Auditoria Informática y clases de auditorias informáticas, un enfoque práctico.Segunda edición ed.s.l: Alfaomegahttp://www.scribd.comAnónimo, 2008, : La Cultura Empresarial de Mondragón. Universidad hispana.http://www.revistafuturos.info

×