Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Clase 1 PDF
Clase 1 PDF
AUDITORÍA Y SEGURIDAD DE
TECNOLOGÍAS DE INFORMACIÓN
AUDITORIA DE SISTEMAS
MOTIVACIÓN
• ¿Qué riegos importantes existen en una
organización?
• ¿Cómo influye una mala información en las
organizaciones?
• ¿Cuál es el activo mas importante de una
empresa?
• ¿Cuál es el rol actual de las TI en una
empresa?
AUDITORIA DE SISTEMAS
TECNOLOGÍAS de la
INFORMACIÓN
RIESGOS
AUDITORIA DE SISTEMAS
ITGI
•Presión para incroporar tecnología en estrategias empresariales
•Aumento de la complejidad de los entornos de TI
•Infraestructuras TI fragmentadas
•Brecha de comunicación entre directivos y gerentes TI
•Niveles de servicio de TI decepcionantes tanto por parte de las
funciones internas de TI como los proveedores externos
•Costes de TI fuera de control
•Productividad y ROI marginales sobre inversiones en TI
•Inflexibilidad organizacional
•Frustración por parte de los usuarios, dando lugar a soluciones ad-hoc
AUDITORIA DE SISTEMAS
ITGI
• Dependencia creciente de la información y los sistemas que la
gestionan
• Vulnerabilidades crecientes y amplio espectro de amenazas
• Escalado y coste de las inversiones actuales y futuras de la
información y los sistemas de información
• Necesidad de cumplir con leyes y regulaciones
• Potencial de las TI para cambiar espectacularmente las
organizaciones y las prácticas empresariales, crear nuevas
oportunidades y reducir costes
• Reconocimiento por parte de muchas organizaciones de los
beneficios potenciales que las TI pueden aportar
AUDITORIA DE SISTEMAS
Gestión de los SI
Control y evaluación
de esta gestión
AUDITORIA DE SISTEMAS
TI no proporcionan sorpresas
Riesgos mitigados
TI contribuyen al negocio
Nuevas oportunidades e innovaciones en
productos, procesos y servicios
mecanismo
para valorar y evaluar
LA CONFIANZA
AUDITORÍA
Proceso sistemático de obtención y evaluación
objetiva acerca de aseveraciones efectuadas por
terceros referentes a hechos y eventos de naturaleza
económica, para testimoniar el grado de
correspondencia entre tales afirmaciones y un
conjunto de criterios convencionales, comunicando
los resultados obtenidos a los destinatarios y
usuarios interesados
American Accounting Association
AUDITORIA DE SISTEMAS
AUDITORÍA DE SISTEMAS
La auditoría de los sistemas se define como un tipo de
auditoría que abarca la revisión y evaluación de los
sistemas automáticos de procesamiento de la
información, incluidos los procedimientos no
automáticos relacionados con ellos, para determinar si
se salvaguardan adecuadamente los activos, se
mantienen la integridad de los datos, se provee
información confiable, se consumen los recursos de
manera eficiente y se alcanza las metas de la
organización.
Fuente: ISACA
AUDITORIA DE SISTEMAS
la AUDITORIA de SI es el
PROCESO
de RECOGER, AGRUPAR y EVALUAR
EVIDENCIAS
para
DETERMINAR
si un SISTEMA INFORMATIZADO
SALVAGUARDA los ACTIVOS,
mantiene la INTEGRIDAD de los DATOS,
lleva a cabo
los FINES de la ORGANIZACIÓN
y UTILIZA EFICIENTEMENTE los RECURSOS
AUDITORIA DE SISTEMAS
1. La Dirección de la empresa
2. El auditor de SI interno
3. El responsable de las Tecnologías de la
Información
4. El vendedor del software y el hardware
AUDITORIA DE SISTEMAS
OBJETIVOS
AUDITORIA DE SISTEMAS
AUDITORÍA de
SI/TIC OPINIÓN
INDEPENDIENTE
APOYO a la DIRECCIÓN
CONTROL INTERNO
AUDITORIA DE SISTEMAS
De
Procedimientos organizativos y
operativos
Sistemas en producción y participación
en nuevos desarrollos
La confidencialidad
La integridad de la Información
Eficiencia o de eficacia de los SI
Cumplimiento Legal y Normativo
etc.
AUDITORIA DE SISTEMAS
OB
ASPECTOS A CONTROLAR
J • El Proyecto de Desarrollo de Sistemas esté enmarcado dentro del
E Plan General de Sistemas
T • Eloperativo
Cronograma del Proyecto sea realista y el Sistema esté
en forma oportuna, de acuerdo a las necesidades de la
Institución.
I
• Se aplique la Metodología de Desarrollo de Sistemas
V
• Exista un control permanente de la consistencia y confiabilidad de
O los Sistemas Informáticos.
S • La Calidad del Sistema producido, permita una óptima
operatividad del mismo
AUDITORIA DE SISTEMAS
ASPECTOS A CONTROLAR
• La tecnología utilizada sea la más adecuada a los fines del
sistema y permita una vida útil satisfactoria para la inversión
realizada.
INSTRUMENTOS DE CONTROL
• Documentación de las Sub-etapas del Desarrollo e
Implantación de Sistemas.
• Reuniones de Revisión Técnica.
• Benchmark o pruebas del sistema.
• Formularios de Control.
AUDITORIA DE SISTEMAS
TIPOS DE AUDITORIA
AUDITORIA DE SISTEMAS
AUDITORÍA EXTERNA
AUDITORÍA INTERNA
CONTROL
INTERNO
SOFTWARE
DATOS
AUDITORIA DE SISTEMAS
AUDITORIA de SI INTERNA
Actúa de forma continua y periódica,
dentro de una planificación a corto y largo
plazo, que permite incluir todas y cada una
de las áreas relacionadas con TI
VENTAJA: formación en el concepto de
control de los auditados, y el seguimiento de
la implantación de las recomendaciones
AUDITORÍA de SI EXTERNA
CONTROL INTERNO
AUDITORIA DE SISTEMAS
INFORME COSO
ISO 17799
Common Criteria (ISO 15408)
ASOCIACIONES PROFESIONALES,
USUARIOS, FABRICANTES
AUDITORIA DE SISTEMAS
RIESGOS
VULNERABILIDAD IMPACTO
PROTECCION (**)
RIESGO
La probabilidad de que
se dé un error,
falle un proceso,
o tenga lugar un hecho negativo
C
O el MECANISMO o
N PROCEDIMIENTO
T que EVITA o
R
O PREVIENE un RIESGO
L
AUDITORIA DE SISTEMAS
COBIT (Governance, control and Audit for Information and Related Technology)
AUDITORIA DE SISTEMAS
Riesgos y controles
en procesos operativos
MANUALES
Riesgos y controles
en procesos operativos
AUTOMATIZADOS
AUDITORIA DE SISTEMAS
CONTROLES
AUDITORIA DE SISTEMAS
CONTROL INTERNO
Revisión periódica de
procedimientos de controles
establecidos
Detección de riesgos
SEGREGACIÓN de FUNCIONES
VOLATILIDAD Y FACILIDAD de
MANIPULACIÓN de
las EVIDENCIAS,
los REGISTROS y
los PROCESOS
AUDITORIA DE SISTEMAS
POLITICAS
Provienen de la Dirección
Generalmente abarcan
objetivos, las metas, filosofías,
códigos éticos, y los esquemas
de responsabilidades
No admiten desviaciones
AUDITORIA DE SISTEMAS
PROCEDIMIENTOS
EVIDENCIAS
AUDITORIA DE SISTEMAS
IDENTIFICACIÓN de
RESPONSABILIDAD
INDEPENDENCIA de la
SUPERVISIÓN
AUDITORIA DE SISTEMAS
ESQUEMA BÁSICO
CONTROLES NECESARIOS