Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Información
Sesiones 1 y 2:
Contextualización de la Auditoría de los
Sistemas de Información
Es la posibilidad de que se
omita un informe inadecuado,
por no haberse detectado
errores o irregularidades
significativas a través del
proceso de auditoria.
Definiciones
Controles
Seguridad
Sistemas de la Información Sistemas de Informática
Informática
PRINCIPALES SINTOMAS
Inseguridad:
Mala imagen e Debilidades
Descoordinación y Evaluación de Nivel de
insatisfacción de los económica-
desorganización Riesgos (S. física, S.
usuarios financiera
lógica, confidencialidad
Síntomas
Las empresas acuden a las auditorias externas cuando existen síntomas bien
perceptibles de debilidad. Estos síntomas pueden agruparse en clases:
PRINCIPALES SINTOMAS
No coinciden los objetivos de la informática de la compañía con los
de la propia compañía.
Descoordinación y
desorganización
Los estándares de productividad se desvían sensiblemente de los
promedios conseguidos habitualmente.
Síntomas
Las empresas acuden a las auditorias externas cuando existen síntomas bien
perceptibles de debilidad. Estos síntomas pueden agruparse en clases:
PRINCIPALES SINTOMAS
No se atienden las peticiones de cambios de
Mala imagen e los usuarios. Ejemplos: cambios de software
insatisfacción de los en los terminales de usuario, variación de
usuarios los ficheros que deben ponerse diariamente
a su disposición, cambio de sistemas de
control de asistencia, etc.
Síntomas
Las empresas acuden a las auditorias externas cuando existen síntomas bien
perceptibles de debilidad. Estos síntomas pueden agruparse en clases:
PRINCIPALES SINTOMAS
No se reparan las averías de hardware ni
Mala imagen e se resuelven incidencias en plazos
insatisfacción de los razonables. El usuario percibe que está
usuarios abandonado y desatendido
permanentemente.
Síntomas
Las empresas acuden a las auditorias externas cuando existen síntomas bien
perceptibles de debilidad. Estos síntomas pueden agruparse en clases:
PRINCIPALES SINTOMAS
No se cumplen en todos los casos los plazos
Mala imagen e de entrega de resultados periódicos.
insatisfacción de los Pequeñas desviaciones pueden causar
usuarios importantes desajustes en la actividad del
usuario, en especial en los resultados de
aplicaciones críticas y sensibles.
Síntomas
Las empresas acuden a las auditorias externas cuando existen síntomas bien
perceptibles de debilidad. Estos síntomas pueden agruparse en clases:
PRINCIPALES SINTOMAS
Incremento
Desviacionesdesmesurado
presupuestarias
de costes.
significativas.
Debilidades
Necesidad de justificación de inversiones económica-
informáticas
Costes y plazos
(la de
empresa
nuevosnoproyectos
está financiera
absolutamente
(deben auditarseconvencida
simultáneamente
de tal a
necesidad
Desarrollo ydedecide
Proyectos
contrastar
y al órgano
opiniones).
que
realizó la petición).
Síntomas
Las empresas acuden a las auditorias externas cuando existen síntomas bien
perceptibles de debilidad. Estos síntomas pueden agruparse en clases:
PRINCIPALES SINTOMAS
Los datos son propiedad inicialmente de la organización que los
genera. Los datos de personal son especialmente confidenciales. Inseguridad:
Evaluación de Nivel de
Riesgos (S. física, S.
Centro de Proceso de Datos fuera de control. Si tal situación
lógica, confidencialidad
llegara a percibirse, sería prácticamente inútil la auditoria. Esa es
la razón por la cual, en este caso, el síntoma debe ser sustituido
por el mínimo indicio.
Síntomas
Las empresas acuden a las auditorias externas cuando existen síntomas bien
perceptibles de debilidad. Estos síntomas pueden agruparse en clases:
PRINCIPALES SINTOMAS
Inseguridad:
Mala imagen e Debilidades
Descoordinación y Evaluación de Nivel de
insatisfacción de los económica-
desorganización Riesgos (S. física, S.
usuarios financiera
lógica, confidencialidad
Síntomas
CAUSA = SINTOMAS
Debilidades E/F
Descoordinación y
desorganización
PROBLEMA QUE
CAUSA A LA
ORGANIZACIÓN
Imagen e
insatisfacción
Nivel de
Riesgo
Propuesta
Se lleven a cabo las siguientes acciones, según la Filosofía de Kaizen:
1. Contratación de Outsourcing de técnicos de reparación de equipo de cómputo.
2. Implementar un sistema de Intranet.
3. Implementar diseño de redes para comunicación externa.
Síntomas
Informe HG&C
Propuesta
Se lleven a cabo las siguientes acciones, según la Filosofía de Kaizen:
4. Programación de mantenimiento preventivo
5. Capacitación del personal existente para resolver daños menores
6. Diseño de parámetros de desempeño
7. Evaluación de desempeño del personal de mantenimiento
8. Estandarizar los procesos de mantenimiento
9. Verificar que se cumplan con los programas de mantenimiento de los equipos.
Calidad Social
Auditoria
Operacional Fiscal
Financiera Sistemas
Tipos de Auditoría
Financiera
Es un proceso cuyo resultado final es la emisión de
un informe, en el que el auditor da a conocer su
opinión sobre la situación financiera de la empresa,
este proceso solo es posible llevarlo a cabo a través
de un elemento llamado evidencia de auditoria, ya
que el auditor hace su trabajo posterior a las
operaciones de la empresa.
Se evalúa y comprueba:
• Veracidad de EEFF.
• Preparación de informes de acuerdo a principios
contables.
Tipos de Auditoría
Operacional
Es el examen posterior, profesional, objetivo y
sistemático de la totalidad o parte de las operaciones
o actividades de una entidad, proyecto, programa,
inversión o contrato en particular, sus unidades
integrantes u operacionales específicas.
Se evalúa y comprueba:
• Evalúa la eficiencia y la eficacia.
• Estado de la actividad economía del negocio.
• Los métodos y procedimientos que rigen un proceso de
una empresa.
Tipos de Auditoría
Sistemas
Se ocupa de analizar la actividad que se conoce como
técnica de sistemas en todas sus facetas. Hoy, la
importancia creciente de las telecomunicaciones ha
propiciado que las comunicaciones, líneas y redes de las
instalaciones informáticas, se auditen por separado,
aunque formen parte del entorno general de sistemas.
Su finalidad es el examen y análisis de los
procedimientos administrativos y de los sistemas de
control interno de la compañía auditada.
Se evalúa y comprueba:
• La función informática en su conjunto.
Tipos de Auditoría
Fiscal
La auditoría fiscal es el proceso sistemático de
obtener y evaluar objetivamente la evidencia acerca
de las afirmaciones y hechos relacionados con actos
y acontecimientos de carácter tributario, a fin de
evaluar tales declaraciones a la luz de los criterios
establecidos y comunicar el resultado a las partes
interesadas; ello implica verificar la razonabilidad con
que la entidad ha registrado la contabilización de las
operaciones resultantes de sus relaciones con
SUNAT.
Tipos de Auditoría
Fiscal
Observa y analiza el grado de adecuación con Principios
y Normas Contables Generalmente Aceptados, debiendo
para ello investigar si las declaraciones fiscales se han
realizado razonablemente con arreglo a las normas
fiscales de aplicación.
Se evalúa y comprueba:
• El cumplimiento de las leyes fiscales.
Tipos de Auditoría
Administrativa
Revisa y evalúa si los métodos, sistemas y procedimientos que se
siguen en todas las fases del proceso administrativo aseguran el
cumplimiento con políticas, planes, programas, leyes y
reglamentaciones que puedan tener un impacto significativo en
operación de los reportes y asegurar que la
organización los este cumpliendo y respetando.
Se evalúa y comprueba:
• Logros de los objetivos de la Administración.
• Desempeño de funciones administrativas.
Tipos de Auditoría
Calidad
La Auditoría de Calidad es una herramienta de gestión
empleada para verificar y evaluar las actividades
relacionadas con la calidad en el seno de una organización. La
empresas tienen la necesidad de demostrar su
responsabilidad con el Sistema de Gestión se Calidad
implantado (SGC) y la práctica asociada de Auditoria de
Calidad se ha tornado como una forma de satisfacer esta
necesidad. La intención de estos sistemas es la de ayudar a
una organización a establecer y mejorar sus políticas,
objetivos, estándares y otros requerimientos de calidad.
Se evalúa y comprueba:
• Métodos y mediciones. Controles de los bienes y servicios.
Tipos de Auditoría
Social
La auditoría social es un proceso que permite a una
organización evaluar su eficacia social y su
comportamiento ético en relación a sus objetivos, de
manera que pueda mejorar sus resultados sociales y
solidarios y dar cuenta de ellos a todas las personas
comprometidas por su actividad.
Se evalúa y comprueba:
• La contribución a la sociedad así como la participación en
actividades socialmente orientadas .
Tipos de Auditoría
Según la relación de Dependencia del Auditor
Auditoría Interna:
• No es determinante. Es subjetiva.
• Índice de importancias.
Matriz DGSI
Procedimiento
• Identificar áreas a auditar.
• Establecer factores a observar. (se
recomienda: no menos de 7 ni más de 12)
• Ponderar y establecer escala.
• Llenar matriz con valores (Likert)
• Totalizar escalas (columnas)
• Ponderar totales
σ 𝑇𝑜𝑡𝑎𝑙𝑒𝑠
𝐸𝐺𝑃𝑆𝐼 =
𝑛 𝐹𝑎𝑐𝑡𝑜𝑟𝑒𝑠
Matriz DGSI
Procedimiento
• Asignar orden de importancia por factores.
• Analizar Escalas de mayor a menor. (nivel de
compromiso sobre el total de factores)
• Analizar Ponderación Total
• Analizar Índices de Importancia
• Conclusiones
• Recomendaciones
Matriz DGSI
Matriz DGSI
Preguntas del Caso
1. Prepare un Resumen Ejecutivo (debe exponer una
breve descripción de la empresa y el diagnóstico
general de la situación actual del sistema auditado)
4. Recomendaciones
Matriz DGSI
Informe JP
Existen evidentes falencias en la no existencia de un comité y plan informático; falta de organización y
administración del área; falencias en la seguridad física y lógica; no existe auditoria de sistemas; falta de
respaldo a las operaciones; accesos de los usuarios; plan de contingencias; y entorno de desarrollo y
mantenimiento de las aplicaciones. El detalle de las deficiencias encontradas, como así también las
sugerencias de solución se encuentran especificadas en los anexos adjuntos. La aprobación y puesta en
práctica de estas sugerencias ayudarán a la empresa a brindar un servicio más eficiente a todos sus
clientes.
Agradecemos la colaboración prestada durante nuestra visita por todo el personal de la Cooperativa y
quedamos a vuestra disposición para cualquier aclaración y/o ampliación de la presente que estime
necesaria.
Atentamente.
Jhon Parthnert
Matriz DGSI
Preguntas del Caso
1. Elabore la Matriz DGSI.
http://www.sbs.gob.pe/noticia/detallenoticia/idnoticia/1404
Contenidos
• Definiciones
• Objetivos de la auditoria a los SI
• Síntomas para auditar (clasificación)
• Tipos de auditorías
• Normas de Seguridad de la Información
• Matriz DGSI
• El proceso de la auditoria a los SI
(general)
El Proceso de Auditoria
Genérico
Finalización
Ejecución
Planificación
El Proceso de Auditoria
Fin General