ORGANIZACIN DEL DEPARTAMENTO DE AUDITORA INFORMTICA

Organizacin del Departamento de Auditora Informtica 1

Antecedentes
Auditora alrededor del ordenador

Auditor verificaba los documentos de entrada al ordenador y los informes producidos, sin entender lo que pasaba dentro del ordenador Auditor verificaba la seguridad fsica (incendios, copias de seguridad, etc.) Auditor financiero Auditor financiero utiliza el ordenador como medio para acceder a los datos (a travs de paquetes) Utilizando sus posibilidades, utilidades, etc.

Auditora a travs del ordenador

Auditora con el ordenador

Control Interno
Controla que todas las actividades de S.I. sean realizadas cumpliendo los procedimientos, normas y estndares fijados por la Direccin Comprende el plan de organizacin y coordinacin de los mtodos y las medidas adoptadas dentro de una empresa: Salvaguardar los activos (Hw, Sw, personas, suministros, etc.) Verificar la exactitud y fiabilidad de sus datos Promover la efectividad operativa Fomentar el seguimiento de las normas y polticas establecidas Es rutinario Abarca todos los mtodos y medidas diseados para asegurar que se cumplen

Elementos del Control Interno

Ambiente de control

Integridad, tica y Capacidad del personal de la empresa

Factores de Evaluacin
Existencia e Implantacin de Cdigos de Conducta Presin para cumplir metas de eficacia poco realistas Descripcin de los Puestos de Trabajo Anlisis de conocimientos y Habilidades que se requieren

Participacin de la Alta Direccin Responsabilidad de los empleados

Evaluacin del Riesgo (progresos tecnolgicos, cambios en el entorno operativo, nuevo personal, etc.)

Actividades de Control (preventivos, correctivos, etc.)

Informacin y Comunicacin de la Informacin Supervisin de los controles internos para asegurarse que el proceso funciona segn lo previsto

Auditora Interna
No puede tomar parte en funciones de tipo operativo Control de los controles Evaluar la adecuacin, grado de efectividad y eficiencia del sistema de control interno de una empresa Ayudar a la Direccin en el cumplimiento de sus responsabilidades y contribuir a que se logren en cada rea resultados ptimos Prestar un servicio de asistencia y de crtica constructiva Funciones principales con respecto al control interno Determinar si los Controles Internos proporcionan la proteccin necesaria, as como la mxima eficacia operativa Comprobar si los procedimientos operativos y mtodos se utilizan tal y como est establecido en las normas de la empresa

Auditora Interna no es:

Sitio de retiro para directivo en desgracia u obsoletos Centro de inquisidores (auditora policaca) Agrupacin de delatores Proveedor de mano de obra, para solucionar situaciones de emergencia de otros departamentos Departamento de filtraciones, obtenidas a travs de la actividad auditora Auxiliar de la auditora externa o un enemigo permanente de sta Un apaga fuegos para toda situacin de emergencia Un lugar de resentidos y descontentos, que se creen los ms capacitados y todo lo enjuician negativamente Un departamento sin categora ni prestigio en la empresa

Auditora Externa
Realizada por alguien ajeno a la entidad auditada Se centran en las deficiencias de los controles internos Diferencias con la auditora interna: Sujeto

Profesional independiente / Empleado de la empresa Opinin independiente / Control y sugerencias de mejora Dictamen / Slo recomendaciones internas Civil e incluso penal / Laboral Peridica / Continua

Objeto

Informe

Responsabilidad

Continuidad

Auditor Informtico
Es ms fcil que un informtico adquiera los principios del control, de la auditora y de la seguridad, que un auditor financiero llegue a adquirir el nivel tcnico informtico necesario En las grandes empresas, cada da existe ms la tendencia de contar con especialistas en reas de la auditora informtica Para los auditores no informticos puede ser frustrante auditar un entorno informtico, debido p.e. a que jerga propia de cada empresa, de cada proyecto

Auditor Informtico
Estndares relativos al mantenimiento de la profesionalidad en la relacin de auditoras El auditor participar activamente en la revisin del diseo y desarrollo de nuevas aplicaciones informticas El auditor revisar los controles generales en los sistemas informticos, para determinar que se diseado de acuerdo con las normas internas en vigor y los requerimientos legales aplicables El auditor revisar los controles de las aplicaciones informticas instaladas para evaluar su fiabilidad procesando datos a tiempo, de forma exacta y completa Los auditores informticos creados a partir de no-informticos mediante cursos, necesitarn una actualizacin de sus conocimientos a medida que van surgiendo nuevas facetas de TI

Qu es la Auditora Informtica
A.I. es la revisin de la propia informtica y de su entorno. Actividades que comprende:

Anlisis de riesgos: prevencin y deteccin de fraudes informticos y virus entre otras cosas Plan de contingencia, ante una situacin prevista Participacin de desarrollo de aplicaciones: auditora preventiva Asesoramiento, para la instalacin de paquetes de seguridad Revisin de controles y cumplimiento de los mismos, as como de las normas legales aplicables Evaluacin de la gestin de recursos informticos, as como existencia de polticas y estndares Apoyo tcnico e informtico en auditoras generales Todas o algunas de sus reas (equipos, S.O., desarrollo, etc.) Los estndares y procedimientos en vigor El grado de satisfaccin de los usuarios y directivos Los controles existentes

Entorno informtico comprende:

Qu no es la Auditora Informtica
Confusin con auditora de cuentas con ayuda del ordenador

Objeto a examinar: balances, estados de cuentas, etc. Herramienta: el ordenador

Asociacin de la auditora informtica con PCs, confundiendo la herramienta con el objetivo principal de la auditora informtica

Auditora informtica la que realiza un auditor financiero que se ayuda de un ordenador para escribir su informe

Auditora Informtica - 1
Trata de evaluar la adecuada utilidad, eficiente, fiabilidad y salvaguarda de la informacin mecanizada que se produce en una empresa, as como la organizacin de los servicios que elaboran y procesan Objetivos

Verificar el Control Interno de la Funcin Informtica Asegurar a la Alta Direccin y al resto de reas que la informacin que les llega es la necesaria en el momento oportuno, es fiable y sirve de base para tomar decisiones Eliminar al mxima la posibilidad de prdida de informacin por Fallos en los Equipos, en los Procesos o por una Gestin inadecuada de los archivos de datos Detectar y prevenir fraudes por manipulacin de la informacin o por acceso de personas no autorizadas a transacciones que exigen trasvases de fondos

Auditora Informtica - 2
Auditora de la Funcin Informtica Examinar organizacin existente para determinar si responde a los criterios fijados por la Direccin y a las necesidades actuales, y asegurar la salvaguarda fsica de la informacin de la empresa (Funciones Bsicas de Gestin, Administracin, Organizacin, Normativa General) Procedimientos de trabajo de Desarrollo, Explotacin y Mantenimiento Verificar Controles globales del Sistema Informtico y las medidas de Seguridad del equipo, los programas y los datos (Seguridad Fsica de Instalaciones y Datos) Auditora de los Sistemas Informticos Evaluar en qu medida se est garantizando el control interno con la utilizacin de esa aplicacin, la seguridad de los datos y programa y el rendimiento de la misma en trminos costo/eficiencia

Perfiles Profesionales de la Funcin de A. Informtica

Responsabilidades

Auditar aplicaciones financieras y seguridad fsica Ofrecer soporte con limitaciones a los auditores financieros y externos

Persona con alto grado de calificacin tcnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales Perfil

Formacin bsica con una mezcla de conocimientos de auditora financiera y de informtica en general (p.e. Desarrollo de aplicaciones, C.V., gestin de proyectos, BD, S.O., redes, etc.) Especializacin en funcin del entorno empresarial Gestin del Cambio Calidad Total, que har que su trabajo sea reconocido como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad

Dimensiones del Trabajo del Auditor Informtico - 1

Revisin de Controles de las Aplicaciones (19%)

Determinar que los sistemas producen la informacin a tiempo, exacta y completa

Revisin de Integridad de Datos (13%)

Complecin, consistencia y exactitud

Determinar la adherencia a los estndares de CV de desarrollo aceptados

Revisin de C.V. de Desarrollo (5%)

Revisin de Controles Generales de los Procedimientos Operacionales (12%)

Determinar que las aplicaciones se procesan en un entorno controlado Asegurar la proteccin adecuada de los programas, de los datos y de la instalacin de procesamiento de datos

Revisin de Seguridad (14%)

Dimensiones del Trabajo del Auditor Informtico - 2

Revisin Software de los Sistemas (5%)

Determinar el cumplimiento con las polticas de la organizacin Determinar que los sistemas se han modificado de acuerdo con las polticas de la organizacin Determinar que los recursos de la organizacin se estn utilizando de forma econmica

Revisin de Mantenimiento (6%)

Revisin de Adquisicin (3%)

Revisin de la Gestin de Recursos del Procesamiento de Datos (5%)

Determinar su adecuacin en el cumplimiento de los objetivos organizativos Utilizar de forma efectiva los recursos disponibles de la funcin de la auditora informtica y para cumplir el requisito de auditora informtica de la organizacin

Gestin de Auditora Informtica (9%)

Organizacin de la Funcin de Auditora Informtica

Auditor informtico es auditor y consultor de la empresa en materia de

Seguridad, Control interno operativo, Eficiencia y eficacia, Tecnologa informtica, Gestin de riesgos, etc.

La concepcin tpica de la funcin de Auditora Informtica es dentro de la funcin de Auditora Interna

Nacimiento histrico de la auditora informtica Dificultad de separar el elemento informtico de la auditora operativa y financiera

Principios de la Funcin de Auditora Informtica

Localizacin ligada a la de auditora interna, con independencia de objetivos, de planes de formacin y de presupuestos Grupo independiente del de auditora interna, con total accesibilidad a los sistemas informticos Dependencia del mximo responsable operativo de la organizacin Recursos humanos mezcla equilibrada entre personas con formacin en auditora y organizacin, y personas con perfil informtico Personal con titulacin CISA El tamao slo se puede precisar en funcin de los objetivos de la funcin.

Organizacin Interna
Jefe Del departamento:

Desarrolla el plan operativo del departamento, las descripciones de puestos de trabajo, las planificaciones de actuacin a un ao, los mtodos de gestin del cambio en su funcin y los programas de formacin individualizados, gestiona los programas de trabajo, los cambios en los mtodos de trabajo, evala la capacidad de las personas a su cargo.

Organizacin Interna (II)

Gerente o supervisor de auditora informtica: Trabaja estrechamente con el Jefe de departamento en las tareas operativas diarias. Ayuda en la evaluacin del riesgo de cada uno de los trabajos, realiza programas de trabajo, dirige y supervisa directamente a las personas en cada de los trabajos de los que es responsable. Realiza formacin sobre el trabajo Apoya la jefatura de la obtencin del mejor resultado , entroncando los conceptos de valor aadido y gestin del cambio. Es el que ms vende la funcin con el auditado.

Organizacin Interna (III)

Auditor Informtico:

Son responsables de la ejecucin directa del trabajo. Deben tener una especializacin genrica, pero tambin una especfica. Debe obtener la informacin , realzar las pruebas, documentacin del trabajo, evaluacin y diagnstico de resultados