Está en la página 1de 23

Gestin y Auditora de TI

25/08/2012

Facultad de Ingeniera y Arquitectura

Gestin y Auditora de Tecnologas de Informacin


Ing. Alberto Mendoza De los Santos, Dr. alberto.mendoza@upnorte.edu.pe

Curso - Gestin y Auditora de TI

25/08/2012 1

Facultad de Ingeniera y Arquitectura

DEFINICIN
La palabra auditora viene del latn auditorius y de esta proviene la palabra auditor, que tiene la virtud de oir y revisar cuentas.

Curso - Gestin y Auditora de TI

25/08/2012

Ing. Alberto Mendoza De los Santos, Dr.

Gestin y Auditora de TI

25/08/2012

Facultad de Ingeniera y Arquitectura

INTRODUCCIN
Las instituciones invierten fuertes sumas de dinero en tecnologa informtica bajo la presuncin explicita o implcita que esta tecnologa les permitir aumentar la eficiencia y reducir los costos de sus operaciones.

Curso - Gestin y Auditora de TI

25/08/2012

Facultad de Ingeniera y Arquitectura

INTRODUCCIN
Otra expectativa comn es la de producir servicios y/o productos de mayor calidad. Sin embargo, en nuestro pas, la evidencia emprica nos muestra que en la mayora de los casos esto no se cumple.

Curso - Gestin y Auditora de TI

25/08/2012

Ing. Alberto Mendoza De los Santos, Dr.

Gestin y Auditora de TI

25/08/2012

Facultad de Ingeniera y Arquitectura

AUDITORA DE TECNOLOGAS DE LA INFORMACIN


Examen objetivo, crtico, sistemtico, eminentemente posterior y selectivo de las polticas, normas, prcticas, procedimientos y procesos con el fin de emitir una opinin respecto a la eficiencia en la utilizacin de los recursos informticos; la confiabilidad, consistencia, integridad y oportunidad de la informacin y la efectividad de los controles en los sistemas de informacin computarizados.
Curso - Gestin y Auditora de TI 25/08/2012 5

Facultad de Ingeniera y Arquitectura

En que consiste la Auditora de TI?


Verificacin de controles. Evaluar su efectividad y presentar recomendaciones a la Gerencia. Verificacin y juzgamiento de la informacin. Evaluacin de los procesos del rea de Sistemas (grado de eficiencia, efectividad y economa de los sistemas). Recolectar y evaluar evidencia:
a. Daos internos y/o externos. b. Salvaguardar activos de la Destruccin. c. Uso no autorizado de recursos (Informacin y equipos).
Curso - Gestin y Auditora de TI 25/08/2012 6

Ing. Alberto Mendoza De los Santos, Dr.

Gestin y Auditora de TI

25/08/2012

Facultad de Ingeniera y Arquitectura

En que consiste la Auditora de TI? (Continuacin)


f. Oportunidad de los datos. g. Robo de informacin. h. Mantener integridad de la Informacin (Precisin de los datos). i. j. Confiabilidad de la informacin. Contribucin de la funcin informtica a las metas organizacin

Curso - Gestin y Auditora de TI

25/08/2012

Facultad de Ingeniera y Arquitectura

En que consiste la Auditora de TI? (Continuacin)


f.

Uso de recursos eficientemente en el procesamiento de la informacin.

Examen de carcter objetivo (independiente), crtico (evidencia), sistemtico (normas), selectivo (muestras) de las polticas, normas, prcticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de informacin computarizados.

Curso - Gestin y Auditora de TI

25/08/2012

Ing. Alberto Mendoza De los Santos, Dr.

Gestin y Auditora de TI

25/08/2012

Facultad de Ingeniera y Arquitectura

Objetivos
El propsito del trabajo de auditora est enmarcado en uno o ms de los siguientes puntos: Cumplimiento de polticas, normas y procedimientos de orden gubernamental e institucional (adquisicin, contratacin e instalacin de servicios para el desarrollo de la funcin informtica).
Curso - Gestin y Auditora de TI 25/08/2012 9

Facultad de Ingeniera y Arquitectura

Objetivos
Comprobar el adecuado uso y resguardo de los recursos informticos de la entidad. Verificar que se efecta el mantenimiento preventivo y correctivo de los recursos informticos, para obtener la confiabilidad e integridad de los sistemas.

Curso - Gestin y Auditora de TI

25/08/2012

10

Ing. Alberto Mendoza De los Santos, Dr.

Gestin y Auditora de TI

25/08/2012

Facultad de Ingeniera y Arquitectura

Objetivos
Grado de confiabilidad y privacidad del ambiente informtico.

Garantizar la seguridad (personas, datos, programas y los equipos).


Verificar controles de seguridad fsica y ambiental.

Curso - Gestin y Auditora de TI

25/08/2012

11

Facultad de Ingeniera y Arquitectura

Objetivos
Evaluar controles establecidos para administrar la infraestructura tecnolgica (servidores de datos, aplicaciones, comunicaciones, terminales, impresoras, etc.).

Curso - Gestin y Auditora de TI

25/08/2012

12

Ing. Alberto Mendoza De los Santos, Dr.

Gestin y Auditora de TI

25/08/2012

Facultad de Ingeniera y Arquitectura

Objetivos
Verificar que los sistemas de informacin correspondan a los objetivos y requerimientos de la entidad. Comprobar la consistencia y confiabilidad de los sistemas.

Curso - Gestin y Auditora de TI

25/08/2012

13

Facultad de Ingeniera y Arquitectura

Objetivos
Verificar los controles involucrados en el software y en los procedimientos manuales de las aplicaciones. Verificar que las rutinas de clculo ejecutadas por las aplicaciones se apliquen correctamente.

Curso - Gestin y Auditora de TI

25/08/2012

14

Ing. Alberto Mendoza De los Santos, Dr.

Gestin y Auditora de TI

25/08/2012

Facultad de Ingeniera y Arquitectura

Motivos para efectuar una Auditoria de TI


Entre los principales justificativos o motivos de una auditora, encontramos: Aumento del presupuesto del Departamento de procesamiento de datos. Desconocimiento de la situacin informtica de la empresa. Falta total o parcial de seguridades lgicas y fsicas que garanticen la integridad del personal , equipos e informacin. Descubrimientos de fraudes efectuados con el uso del computador.
Curso - Gestin y Auditora de TI 25/08/2012 15

Facultad de Ingeniera y Arquitectura

Motivos para efectuar una Auditoria de TI


Falta de una planificacin informtica. Falta de visin. Organizacin que no funciona correctamente, debido a falta de polticas, objetivos, normas, metodologa, estndares, delegacin de autoridad, asignacin de tareas y adecuada administracin del recurso humano.
Curso - Gestin y Auditora de TI 25/08/2012 16

Ing. Alberto Mendoza De los Santos, Dr.

Gestin y Auditora de TI

25/08/2012

Facultad de Ingeniera y Arquitectura

Motivos para efectuar una Auditoria de TI


Descontento general de los usuarios, motivado generalmente, por incumplimiento de plazos y mala calidad de resultados. Falta de documentacin o documentacin incompleta de sistemas.

Curso - Gestin y Auditora de TI

25/08/2012

17

Facultad de Ingeniera y Arquitectura

Objetos Auditables
Es la agrupacin de las auditorias siguiendo criterios relacionados con aspectos de gestin y planificaciones generales, desarrollo de software, hardware y finalmente seguridad global. Ejemplos de objetos auditables son: - Gestin y planificacin - Desarrollo del software - Hardware - Seguridad global
Curso - Gestin y Auditora de TI 25/08/2012 18

Ing. Alberto Mendoza De los Santos, Dr.

Gestin y Auditora de TI

25/08/2012

Facultad de Ingeniera y Arquitectura

Objetos Auditables
Auditoria Informtica
Auditoria Redes Auditoria Fsica

Ing. Alberto Mendoza De los Santos, Dr.

Auditoria de la Direccin

Auditoria de la Explotacin

Auditoria de Base de Datos

Auditoria de desarrollo

Curso - Gestin y Auditora de TI

Descargar la gua metodolgica de la siguiente direccin web:


http://amds-ti.blogspot.com/2011/06/el-proceso-de-auditoria-de-ti.html

Curso - Gestin y Auditora de TI

Auditoria Ofimtica

19 25/08/2012

Facultad de Ingeniera y Arquitectura

Actividad

25/08/2012

20

10

Gestin y Auditora de TI

25/08/2012

Facultad de Ingeniera y Arquitectura

CONTROL INTERNO

Curso - Gestin y Auditora de TI

25/08/2012 21

Facultad de Ingeniera y Arquitectura

CONTROL INTERNO
CONTENIDOS:
CONTROL INTERNO CONTROL INTERNO INFORMATICO CONTROL INTERNO Y LA AUDITORIA COBIT

Curso - Gestin y Auditora de TI

25/08/2012

22

Ing. Alberto Mendoza De los Santos, Dr.

11

Gestin y Auditora de TI

25/08/2012

Facultad de Ingeniera y Arquitectura

CONTROL INTERNO
Esta referido fundamentalmente a la adopcin de medidas preventivas, que tienen como finalidad salvaguardar los bienes de la empresa. Busca evitar acciones nefastas como sabotajes, fraudes y otro tipo de situaciones que lleven a inestabilidad o desaparicin del negocio.
Curso - Gestin y Auditora de TI 25/08/2012 23

Facultad de Ingeniera y Arquitectura

CONTROL INTERNO
Carlos Muoz Razzo
El control interno es la adopcin de una serie de medidas que se establecen en las empresas, con el propsito de contar con instrumentos tendientes a salvaguardar la integridad de los bienes institucionales y as ayudar a la administracin para el cumplimiento correcto de las actividades y operaciones de las empresas.

Curso - Gestin y Auditora de TI

25/08/2012

24

Ing. Alberto Mendoza De los Santos, Dr.

12

Gestin y Auditora de TI

25/08/2012

Facultad de Ingeniera y Arquitectura

CONTROL INTERNO
Jos Antonio Echenique :
El control interno comprende el plan de organizacin y todos los mtodos y procedimientos que en forma coordinada se adoptan en un negocio para salvaguardar sus actividades, verificar la razonabilidad y confiabilidad de su informacin financiera, promover la eficiencia operacional y proveer la adherencia a las polticas prescritas por la administracin

Curso - Gestin y Auditora de TI

25/08/2012

25

Facultad de Ingeniera y Arquitectura

Algo es claro y evidente, la nueva economa ha obligado a las empresas a realizar cambios. Algunos de estos cambios, se pueden resumir en:
Restructuracin de los procesos empresariales (BPR: Business Process Re-engineering). Gestin de la calidad (TQM). Redimensionamiento por reduccin o crecimiento hasta el nivel correcto. Outsourcing. Descentralizacin.
Curso - Gestin y Auditora de TI 25/08/2012 26

CONTROL INTERNO Y LA NUEVA ECONOMIA

Ing. Alberto Mendoza De los Santos, Dr.

13

Gestin y Auditora de TI

25/08/2012

Facultad de Ingeniera y Arquitectura

Los grandes cambios en las empresas, no siempre son voluntarios, estos generalmente responden a fuerzas externas que presionan a la empresa. Ante esta situacin, las empresas deben evaluar sus sistemas de control interno de manera permanente. Para enfrentar y manejar estas fuerzas, se hace necesaria la adopcin de la tecnologa disponible.

CONTROL INTERNO Y LAS FUERZAS EXTERNAS

Curso - Gestin y Auditora de TI

25/08/2012

27

Facultad de Ingeniera y Arquitectura

Los Sistemas de informacin constituyen un soporte fundamental para poner en marcha las estrategias planteadas por la alta direccin. Lo que origina tambin un aumento de las necesidades de control y auditoria. Es en este escenario que aparecen dos conceptos fundamentales: El control interno informtico y la Auditoria informtica.

CONTROL INTERNO Y LAS FUERZAS EXTERNAS

Curso - Gestin y Auditora de TI

25/08/2012

28

Ing. Alberto Mendoza De los Santos, Dr.

14

Gestin y Auditora de TI

25/08/2012

Facultad de Ingeniera y Arquitectura

CONTROL INTERNO Y LAS FUERZAS EXTERNAS


Alianzas Estratgicas Globalizacin

Empresas

Desaparicin de nichos de mercados

Competencia

Curso - Gestin y Auditora de TI

25/08/2012

29

Facultad de Ingeniera y Arquitectura

CONTROL INTERNO GUBERNAMENTAL


Es un proceso realizado por la direccin, gerencia y otros empleados de la entidad, para proporcionar seguridad razonable, respecto a si estn logrndose los objetivos siguientes: 1. Promover la efectividad, eficiencia y economa en las operaciones y, la calidad en los servicios. 2.Proteger y conservar los recursos pblicos contra cualquier prdida, despilfarro, uso indebido, irregularidad o acto legal 3.Cumplir las leyes, reglamentos y otras normas gubernamentales 4.Elaborar informacin financiera vlida y confiable, presentada con oportunidad. 5.Promover una Cultura de Integridad, Transparencia y Responsabilidad den la Funcin Pblica, cautelando el correcto desempeo de los funcionarios y servidores.
Curso - Gestin y Auditora de TI 25/08/2012 30

Ing. Alberto Mendoza De los Santos, Dr.

15

Gestin y Auditora de TI

25/08/2012

Facultad de Ingeniera y Arquitectura

CONTROL INTERNO GUBERNAMENTAL


En las entidades gubernamentales realizan la funcin de control interno los funcionarios y servidores de la entidad de acuerdo a sus niveles de responsabilidad.

Curso - Gestin y Auditora de TI

25/08/2012

31

Facultad de Ingeniera y Arquitectura

CONTROL INTERNO GUBERNAMENTAL


QUIN EVALUA EL CONTROL INTERNO?
Los auditores de la entidad (OCI) de la Contralora General de la Repblica y las SOAs, mediante auditoras o exmenes especiales.

Curso - Gestin y Auditora de TI

25/08/2012

32

Ing. Alberto Mendoza De los Santos, Dr.

16

Gestin y Auditora de TI

25/08/2012

Facultad de Ingeniera y Arquitectura

PRINCIPIOS
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12.

CONTROL INTERNO GUBERNAMENTAL


Delimitacin de responsabilidades. Separacin de funciones incompatibles. Ninguna persona debe tener responsabilidad completa. Seleccin de servidores hbiles y capacitados. Aplicacin de pruebas continuas de exactitud. Rotacin de personal. Fianzas. Instrucciones por escrito. Uso de formularios pre - numerados. Evitar uso de dinero en efectivo. Depsito inmediato o intactos fondo. Uso mnimo de cuentas bancarias.
25/08/2012 33

Curso - Gestin y Auditora de TI

Facultad de Ingeniera y Arquitectura

CONTROL INTERNO INFORMATICO


Se encarga de que el control de las actividades informticas, se realicen cumpliendo los estndares fijados por la organizacin. Este control debe tener carcter preventivo, detectivo y correctivo.

Curso - Gestin y Auditora de TI

25/08/2012

34

Ing. Alberto Mendoza De los Santos, Dr.

17

Gestin y Auditora de TI

25/08/2012

Facultad de Ingeniera y Arquitectura

CONTROL INTERNO INFORMATICO


Las medidas preventivas son aquellas orientadas a la prevencin de riesgos o situaciones anmalas a las fijadas en la institucin. Un ejemplo de esto es prevenir accesos no deseados a las aplicaciones.

Curso - Gestin y Auditora de TI

25/08/2012

35

Facultad de Ingeniera y Arquitectura

CONTROL INTERNO INFORMATICO


Las medidas detectivas son aquellas que muestran evidencia de incumplimiento o intentos de quebrantar los estndares fijados. Podramos citar como situacin ilustrativa la revisin de la bitcora de accesos fallidos a las aplicaciones con el fin de detectar horas y equipos desde donde se hace los intentos fallidos de acceso.
Curso - Gestin y Auditora de TI 25/08/2012 36

Ing. Alberto Mendoza De los Santos, Dr.

18

Gestin y Auditora de TI

25/08/2012

Facultad de Ingeniera y Arquitectura

CONTROL INTERNO INFORMATICO


Las medidas correctivas se orientan a recuperarnos ante la vulnerabilidad de las medidas preventivas. Van a ser evaluadas por su efectividad y tiempos de respuesta. Ejemplo de esto es las medidas orientadas a recuperase de los daos ocasionados por un acceso no deseado.
Curso - Gestin y Auditora de TI 25/08/2012 37

Facultad de Ingeniera y Arquitectura

CONTROL INTERNO INFORMATICO


El control interno informtico, suele ser un staff de la Direccin del departamento de informtica y esta dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden. En nuestro pas la constitucin de este staff va a depender de la magnitud de la organizacin.
Curso - Gestin y Auditora de TI 25/08/2012 38

Ing. Alberto Mendoza De los Santos, Dr.

19

Gestin y Auditora de TI

25/08/2012

Facultad de Ingeniera y Arquitectura

CONTROL INTERNO INFORMATICO


OBJETIVOS:
Control de las actividades orientadas al cumplimiento de los procedimientos y normas fijados por la organizacin as como el cumplimiento de las normas legales. Asesorar al personal de la organizacin sobre el conocimiento de las normas. Colaborar y apoyar el trabajo de auditoria Informtica. Definir, implantar y ejecutar mecanismos y controles as como establecer responsabilidades en la evaluacin y ejecucin de las medidas preventivas.
Curso - Gestin y Auditora de TI 25/08/2012 39

Facultad de Ingeniera y Arquitectura

CONTROL INTERNO INFORMATICO


TIPOS: Segn los objetivos se clasifica en:
Controles preventivos: para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.

Curso - Gestin y Auditora de TI

25/08/2012

40

Ing. Alberto Mendoza De los Santos, Dr.

20

Gestin y Auditora de TI

25/08/2012

Facultad de Ingeniera y Arquitectura

CONTROL INTERNO INFORMATICO


TIPOS
Controles detectivos: cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de accesos no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc.

Curso - Gestin y Auditora de TI

25/08/2012

41

Facultad de Ingeniera y Arquitectura

CONTROL INTERNO INFORMATICO


TIPOS
Controles correctivos: facilitan la vuelta a la normatividad cuando se han producido incidencias. Por ejemplo, la recuperacin de un archivo daado a partir de las copias de seguridad.

Curso - Gestin y Auditora de TI

25/08/2012

42

Ing. Alberto Mendoza De los Santos, Dr.

21

Gestin y Auditora de TI

25/08/2012

Facultad de Ingeniera y Arquitectura

Control Interno y Auditora Informtica: Campos Anlogos El control interno Informtico y la auditora Informtica, tienen similitudes en sus objetivos profesionales. Son campos anlogos que propician una transicin natural entre ambas disciplinas. Sin embargo existen diferencias que conviene resaltar.

Curso - Gestin y Auditora de TI

25/08/2012

43

Control Interno y Auditora Informtica: Campos Anlogos


CONTROL INTERNO Y AUDITORIA

Facultad de Ingeniera y Arquitectura

Poltica de Seguridad

Plan de Seguridad

Normas y Procedimientos

Medidas Tecnolgicas implantadas

FORMACION Y MENTALIZACION

Curso - Gestin y Auditora de TI

25/08/2012

44

Ing. Alberto Mendoza De los Santos, Dr.

22

Gestin y Auditora de TI

25/08/2012

Facultad de Ingeniera y Arquitectura

Control Interno y Auditora Informtica: Campos Anlogos


CONTROL INTERNO INFORMATICO SIMILITUDES AUDITORA INFORMATICA Conocimientos especializados en Tecnologa de la Informacin. Verificacin del cumplimiento de controles internos, normativa y procedimientos establecidos por la direccin de informtica y la Direccin General para los sistemas de informacin. Anlisis de los controles en el da a da. Informa a la Direccin del Departamento de Informtica. Slo personal interno. El alcance de sus funciones es nicamente para el Departamento de Informtica. Anlisis de un momento informtico determinado. Informa a la Direccin General de la Organizacin. Personal interno y/o externo. Tiene cobertura sobre todos los componentes de los sistemas de informacin de la Organizacin.

DIFERENCIAS

Curso - Gestin y Auditora de TI

25/08/2012

45

Ing. Alberto Mendoza De los Santos, Dr.

23