AUD SEG 2010 Modulo - VII PDF

Diplomado en Auditoría de
Sistemas y Seguridad de la
Información
Modulo VII: Introducción a la Auditoria de Sistemas

Sistemas.
LOGO
AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN
Agenda
Modulo VII: Introducción a la Auditoría de Sistemas
1) Deontología - Compromiso Ético

2) Importancia y Objetivos de la Auditoria.
3) Motivos para efectuar una auditoria de
Sistemas.
4)) Alcance de la Auditoria de Sistemas
5) Perfil del Auditor de TI y sus áreas de
Interés.
6) Proceso de la Auditoria: Planeación,
Ejecución, Informe, Seguimiento.
UNIVERSIDAD NACIONAL DE PIURA

D
Deontología
t l í - Compromiso
C i Éti
Ético

PRINCIPIOS DEONTOLOGICOS
1 Principio de beneficio del auditado.

1. auditado
2. Principio de Calidad.
3. Principio de Capacidad.
4. Principio de Cautela.
5. Principio de Comportamiento Profesional.
6. Principio de Concentración en el Trabajo.
7. Principio
p de Confianza.
8. Principio de Criterio Propio.

9 Principio de Discreción.
9. Discreción
10. Principio de Economía.
11. Principio de Formación Continuada.
12. Principio
p de Fortalecimiento y respecto
p a la p
profesión.
13. Principio de Independencia.
14. Principio de Información suficiente.
15. Principio de Integridad Moral.
16. Principio de Legalidad.

17 Principio de Libre Competencia.

17. Competencia
18. Principio de No Discriminación.
19. Principio de No Injerencia.
20. Principio
p de Precisión.
21. Principio de Publicidad Adecuada.
22. Principio de Responsabilidad.
23. Principio de Secreto Profesional.
24. Principio de Servicio Público.
25 Principio
25. P i i i de
d Veracidad.
V id d …

IMPORTANCIA Y OBJETIVOS DE LA
AUDITORIA DE SISTEMAS

¿QUE ES LA AUDITORIA?
La palabra
L l b auditoria
dit i viene
i d l latín
del l tí “auditorius”
“ dit i ” y de d estat
proviene la palabra “auditor”, que tiene la virtud de oir y
revisar.
ES EL EXAMEN MEDIANTE EL CUAL SE REVISA QUE SE

CUMPLA CON LO PREESTABLECIDO.
PREESTABLECIDO

¿QUE ES LA AUDITORIA DE SISTEMAS?
Examen objetivo
j ((independiente),
p ), crítico
(evidencia), sistemático (normas),
eminentemente posterior y selectivo (muestras)
de las políticas
políticas, normas
normas, prácticas
prácticas,
procedimientos y procesos con el fin de emitir
una opinión respecto a:
a) La eficiencia en la utilización de las tecnologías de

información;
b) La confiabilidad, consistencia, integridad y oportunidad de la
información; y
c) La efectividad de los controles en los sistemas de
información computarizados.

¿POR QUE ES IMPORTANTE LA AUDITORIA

DE SISTEMAS?
Verificar la implementación de controles. Evaluando
su efectividad y presentando recomendaciones a la
Gerencia.
Verificar y juzgar la utilidad y oportunidad de la

información que se gestiona a través de los
sistemas.
i t
Evaluar los procesos del Área de Sistemas

(Informática, Tecnologías de Información), así como
el grado de eficiencia, eficacia y economía de las
tecnologías de información.
información

¿POR QUE ES IMPORTANTE LA AUDITORIA

DE SISTEMAS?
Proceso de recolección y evaluación de evidencia:
Daños internos y/o externos.
Salvaguardar activos de la Destrucción.
Uso no autorizado de recursos (Información y equipos).
Robo de información.
Mantener integridad de la Información (Precisión de los
datos).
Oportunidad de los datos.
Confiabilidad de la información.
Contribución de la función del área de sistemas a las metas
organizacionales.
Uso de recursos eficientemente en el procesamiento de la
información.

OBJETIVOS DE LA AUDITORIA DE SISTEMAS
Verificar el cumplimiento de políticas, normas

y procedimientos (adquisición, contratación e
instalación de servicios para el desarrollo de la
función informática).
)
Comprobar el adecuado uso y resguardo de

l
los recursos que se utilizan
tili en los
l sistemas
i t d la
de l
entidad.
Determinar el Grado de confiabilidad y privacidad

del ambiente con el que cuenta el área de
Sistemas.
Sistemas

Verificar el grado de implementación de controles

relacionados a la seguridad de: personas, datos,
información, hardware, software, redes de
comunicación,, así como de la seguridad
g física y
ambiental.
EEvaluar
l l controles
los t l establecidos
t bl id para administrar
d i i t
la infraestructura tecnológica (servidores de datos,
aplicaciones, comunicaciones, terminales,
impresoras, etc.).
Verificar que los Sistemas de información

correspondan a los objetivos y necesidades de la
entidad.

Comprobar la consistencia y confiabilidad de los

sistemas.
Verificar los controles involucrados en la

implementación de software, así como en sus
procedimientos y manuales de uso.
Verificar que las rutinas de cálculo ejecutadas por

las aplicaciones se apliquen correctamente.
correctamente

MOTIVOS PARA EFECTUAR UNA

AUDITORIA DE SISTEMAS

Motivos para efectuar una Auditoria de

Si t
Sistemas
Aumento significativo del presupuesto del área
de Sistemas.
Desconocimiento de la situación del área de

Sistemas en la empresa.
Falta total o parcial de seguridades lógicas y

físicas que garanticen la integridad del personal ,
equipos e información.
información
Descubrimientos de fraudes efectuados con el

uso del computador.


Si t
Sistemas
Falta de una planificación del área de Sistemas,
trabajando con el DIA a DIA.
Organización que no funciona correctamente,

correctamente
debido a falta de políticas, objetivos, normas,
metodología, estándares, delegación de
autoridad,
t id d asignación
i ió ded tareas
t y adecuada
d d
administración del recurso humano.
Descontento general de los usuarios, motivado

generalmente, por incumplimiento de plazos y
mala calidad de resultados.
resultados
Falta de documentación o documentación

incompleta de sistemas de información.

Si t
Sistemas
Lo que Cuesta VS Lo que Genera

ALCANCE DE NA AUDITORIA DE
SISTEMAS

Alcance de una Auditoria de Sistemas
1.- Evaluar los controles de entrada, procesamiento y

salida
Compatibilidad, exactitud, rangos específicos,

verificación de seguridad para el acceso a terminales,
terminales
programas, archivos, datos e información confidencial.
Integridad en los datos procesados.
Los datos procesados estén debidamente autorizados.
Adecuada distribución de las salidas otorgadas por el
sistema.
sistema

2.- Definir los controles que deben implantarse para

Garantizar la integridad y confidencialidad de la
información:
Controles sobre el acceso del usuario.

Controles de claves de acceso.
Controles de datos ingresados.
C t l
Controles d transacciones
de t i mall efectuadas,
f t d entre
t
otros.

3.- Establecer Recomendaciones a la Gerencia:
Informe
I f (
(propuesta
t de
d mejoras).
j )

PERFIL DEL AUDITOR DE SISTEMAS Y

AREAS DE INTERES

PERFIL DEL AUDITOR DE SISTEMAS
Los cambios permanentes en la tecnología obligan

a que el auditor de sistemas se mantenga al día,
capacitándose en aspectos tales como estándares,
metodologías,
t d l í b
buenas prácticas,
á ti manejadores
j d d
de
bases de datos, sistemas abiertos, sistemas
distribuidos, sistemas operativos, aplicaciones,
comunicaciones y normatividad.
Además de los conocimientos tecnológicos,

tecnológicos debe
tener:
Una despierta curiosidad intelectual,
Una mentalidad investigativa y
Conservar un alto espíritu de imparcialidad.

AREAS DE INTERÉS DEL AUDITOR DE

SISTEMAS
o La organización y el personal del área de Sistemas.
o Los Planes del área de Sistemas.
o Los sistemas que se utilizan en las unidades
organizacionales de la empresa.
empresa
o Los estándares de documentación y desarrollo.
o El DATA CENTER
o Las aplicaciones instaladas y utilizadas en las estaciones de
trabajo.
o Los
L controles
t l y la
l seguridad
id d en general.
l
o Los archivos maestros y de transacciones.
o La Red de Comunicaciones y de Datos.
Datos
o El acceso a Internet / Intranet / EMAIL.
o La Transferencia Electrónica de Documentos.
o Los procesos y procedimientos
PROCESO DE LA AUDITORIA DE
SISTEMAS

PROCESO DE LA AUDITORIA DE SISTEMAS

Diplomado en Auditoría de
Sistemas y Seguridad de la
Información
Modulo VII: Introducción a la Auditoria de Sistemas

Sistemas.
LOGO

AUD SEG 2010 Modulo - VII PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

AUD SEG 2010 Modulo - VII PDF

Cargado por

Copyright:

Formatos disponibles

Diplomado en Auditoría de

Modulo VII: Introducción a la Auditoria de Sistemas

1) Deontología - Compromiso Ético

UNIVERSIDAD NACIONAL DE PIURA

UNIVERSIDAD NACIONAL DE PIURA

1 Principio de beneficio del auditado.

5. Principio de Comportamiento Profesional.

6. Principio de Concentración en el Trabajo.

8. Principio de Criterio Propio.

UNIVERSIDAD NACIONAL DE PIURA

10. Principio de Economía.

11. Principio de Formación Continuada.

13. Principio de Independencia.

14. Principio de Información suficiente.

15. Principio de Integridad Moral.

16. Principio de Legalidad.

UNIVERSIDAD NACIONAL DE PIURA

17 Principio de Libre Competencia.

18. Principio de No Discriminación.

19. Principio de No Injerencia.

21. Principio de Publicidad Adecuada.

22. Principio de Responsabilidad.

23. Principio de Secreto Profesional.

24. Principio de Servicio Público.

UNIVERSIDAD NACIONAL DE PIURA

UNIVERSIDAD NACIONAL DE PIURA

ES EL EXAMEN MEDIANTE EL CUAL SE REVISA QUE SE

UNIVERSIDAD NACIONAL DE PIURA

¿QUE ES LA AUDITORIA DE SISTEMAS?

a) La eficiencia en la utilización de las tecnologías de

UNIVERSIDAD NACIONAL DE PIURA

¿POR QUE ES IMPORTANTE LA AUDITORIA

 Verificar y juzgar la utilidad y oportunidad de la

 Evaluar los procesos del Área de Sistemas

UNIVERSIDAD NACIONAL DE PIURA

¿POR QUE ES IMPORTANTE LA AUDITORIA

UNIVERSIDAD NACIONAL DE PIURA

OBJETIVOS DE LA AUDITORIA DE SISTEMAS

 Verificar el cumplimiento de políticas, normas

 Comprobar el adecuado uso y resguardo de

 Determinar el Grado de confiabilidad y privacidad

UNIVERSIDAD NACIONAL DE PIURA

OBJETIVOS DE LA AUDITORIA DE SISTEMAS

 Verificar el grado de implementación de controles

 Verificar que los Sistemas de información

UNIVERSIDAD NACIONAL DE PIURA

OBJETIVOS DE LA AUDITORIA DE SISTEMAS

 Comprobar la consistencia y confiabilidad de los

 Verificar los controles involucrados en la

 Verificar que las rutinas de cálculo ejecutadas por

UNIVERSIDAD NACIONAL DE PIURA

MOTIVOS PARA EFECTUAR UNA

UNIVERSIDAD NACIONAL DE PIURA

Motivos para efectuar una Auditoria de

 Desconocimiento de la situación del área de

 Falta total o parcial de seguridades lógicas y

 Descubrimientos de fraudes efectuados con el

UNIVERSIDAD NACIONAL DE PIURA

Motivos para efectuar una Auditoria de

 Organización que no funciona correctamente,

 Descontento general de los usuarios, motivado

 Falta de documentación o documentación

Motivos para efectuar una Auditoria de

Verificar y juzgar la utilidad y oportunidad de la

Evaluar los procesos del Área de Sistemas

Verificar el cumplimiento de políticas, normas

Comprobar el adecuado uso y resguardo de

Determinar el Grado de confiabilidad y privacidad

Verificar el grado de implementación de controles

Verificar que los Sistemas de información

Comprobar la consistencia y confiabilidad de los

Verificar los controles involucrados en la

Verificar que las rutinas de cálculo ejecutadas por

Desconocimiento de la situación del área de

Falta total o parcial de seguridades lógicas y

Descubrimientos de fraudes efectuados con el

Organización que no funciona correctamente,

Descontento general de los usuarios, motivado

Falta de documentación o documentación

Compatibilidad, exactitud, rangos específicos,

Controles sobre el acceso del usuario.