Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoriasistemasi 150703002656 Lva1 App6891
Auditoriasistemasi 150703002656 Lva1 App6891
SISTEMAS
AUDITORIA EN INFORMATICA
•
Antecedentes
Terminología
Referencias
Antecedentes
Inicialmente la informática apoyó las áreas de
contabilidad, nóminas, etc., lo que originó la
necesidad de conocer y medir dicho apoyo a
estas áreas y a toda la empresa.
-> Se origina el proceso de la auditoría a
sistemas de información o auditoria de sistemas.
• Personas
• Datos
• Aplicativos
• Tecnología
(Hard., Soft., BD, Comunics.)
• Procesos
La Dirección de TI
Problemas:
Debilidades en la planeación del negocio (informática)
Resultados negativos (improductividad, duplicidad de
funciones, etc) de los SI (Desarrollo, Mantenimiento.
Operación).
Falta de actualización de personal informático.
Capacitación deficiente de los usuarios de los SI
Deficiente involucramiento de los usuarios en el
desarrollo e implantaciones de soluciones informáticas.
Administración deficiente de los proyectos (Falta de un
proceso de análisis costo/beneficio, metodologías de
planeación y desarrollo no estandarizadas, poco uso
de técnicas formales, falta proceso formal de
planeación)
Involucramiento mínimo de la alta dirección
Importancia de la
auditoria en informática
La tecnología informática es una herramienta
que brinda rentabilidad y ventaja competitiva;
pero puede originar costos y desventajas si no
es bien llevada.
– ¿Cómo saber si se está administrando y
dirigiendo de manera correcta la función
informática?
– ¿Es necesario auditar o evaluar la función de
informática?
– ¿Quiénes lo harían?.
La solución es realizar evaluaciones oportunas
y completas de la función informática, a cargo
de personal calificado (consultores externos,
auditores en informática).
La función informática se ha convertido en una
herramienta permanente y necesaria, en un
aliado confiable y oportuno, de los procesos
principales de los negocios.
Es posible auditar la función informática, si se
implementan los controles y esquemas de
seguridad requeridos para su aprovechamiento
óptimo.
=> Evaluar, formal y periódicamente, la función
de informática integrada al proceso de negocios.
Sistemas de información
Redes y comunicaciones
Bases de datos
Desarrollo de sistemas
Soporte a usuarios
Planeación informática
Investigación de nuevas tecnologías
Sistemas de Información:
Conjunto de módulos computacionales organizados e
interrelacionados de manera formal para la administración
y uso eficiente de todos los recursos (humanos,
materiales, tecnológicos, etc.) de un área de la empresa
(manufactura, administración, dirección, etc.); para
representar los procesos reales y orientar los
procedimientos, políticas y funciones inherentes al logro
eficientemente las metas y objetivos del negocio.
Pueden orientarse al apoyo de:
Niveles operativos.
Niveles tácticos.
Niveles estratégicos.
Servicios de TI
Prioridades
Del Negocio
• Planeación estratégica
• Evaluación permanente de los procesos y flujos de datos.
• Reingeniería de negocios, Investigación de mercados.
• Estudio y asimilación del aspecto social, cultural, político,
económico y tecnológico del entorno.
• Compromiso de todos los niveles de la empresa con la
calidad y satisfacción del cliente.
• Orientar los recursos a los procesos fundamentales del
negocio.
• Considerar el recurso humano como la pieza clave de la
organización.
La Dirección de TI
TI PRODUCTOS y SERVICIOS
Aplicativos
Infraestructura
® TALENTOS (RrHh)
Bases de Datos
CLIENTES
Stakeholders
Relaciones
Aplicaciones
disponibles
Instalación y
Soporte de
PROVEEDORES Infraestructura
Conocimiento
Stakeholders ……………
5 dimensiones
Alineamiento estratégico con el negocio
concordantes con visión, misión y lineamientos
estratégicos de la organización
Gestión de recursos
personas, aplicaciones, información, infraestructura
®
Gestión de rendimiento
medición, seguimiento y mejora
Gestión de riesgos
identificados, priorizados, cuantificados, comunicados
Factores que propician la Auditoría
Informática
Leyes gubernamentales.
Políticas internas de la empresa.
Necesidad de controlar el uso de equipos
computacionales.
Altos costos debido a errores.
Pérdida de información y de capacidades
de procesamiento de datos, aumentando el
riesgo de toma de decisiones incorrectas.
Valor del hardware, software y personal.
Necesidad de mantener la privacidad y
confidencialidad de las transacciones de la
organización.
Objetivos generales de la
Auditoría en Informática
Asegurar la integridad, confidencialidad
y confiabilidad de la información.
Minimizar existencias de riesgos en el
uso de Tecnología de información
Conocer la situación actual del área
informática para lograr los objetivos.
Seguridad, utilidad, confianza,
privacidad y disponibilidad en el
ambiente informático, así como también
seguridad del personal, los datos, el
hardware, el software y las
instalaciones.
Objetivos generales de la
Auditoría en Informática
Incrementar la satisfacción de los
usuarios de los sistemas informáticos.
Capacitación y educación sobre
controles en los Sistemas y Tecnologías
de Información.
Buscar una mejor relación costo-
beneficio de los sistemas informáticos
y tomar decisiones en cuanto a
inversiones en TICs.
Objetivo del auditor en informática al
estudiar el entorno y su impacto en el
negocio
Dirección de Informática
Auditores en Consultores
Consultores
informática
Gerencia de
Informática
Personal de apoyo
de auditoria en
informática
Gerencia de
Gerencia de informática
auditoria
Jefaturas de
Jefaturas de auditoria informática
(consultores)
Analistas y
Auditores programadores
(consultores)
Subdirección de
auditoria
Despacho de
auditores en
informática externos
Gerencia de Gerencia de
Auditoria Auditoria financiera
administrativa
Auditores Auditores
Se podría considerar:
– Especialista en el entorno informático a auditar
– Especialista en comunicación y/o redes
– Responsables de gestión de riesgos operativo y
aplicaciones
– Responsables de la auditoria de sistemas de
información
– Especialista para la elaboración de programas de
trabajo conjuntos con la auditoría administrativa
4.3 Administración de la Función de
Auditoria en informática
Garantiza que los recursos involucrados obedezcan los
principios básicos de un proceso administrativo, como: la
planeación, el personal , el control y el seguimiento del
desempeño.
– Objetivos principales de la administración de AI:
1. Cubrir y proteger los riesgos informáticos
2. Asegurar los recursos sean orientados al logro de
objetivos
3. Asegurar la formulación, elaboración, difusión y
cumplimiento de las políticas, funciones y
procedimientos
4. Asegurar resultados esperados por el negocio
5. Para el éxito: Elaborar y formalizar planes, organizar
la función, dirigir, revisar y evaluar el desempeño.
Conocimiento o Habilidades requeridas para la
función de la Auditoria en informática
Concepto Responsable de Supervisor de Auditor
Auditoria Auditoria
Metodología
•Planeación de sists Alto Alto Bueno
•Desarrollo de sists. Mínimo Alto Alto
Técnicas
•Análisis
1.Organizacional Alto Alto Regular
•Diseño
1.Conceptual Regular Alto Alto
Planificación
1. Desarrollar una matriz de la planeación de AI para
determinar las áreas que serán evaluadas.
2. Tener información de los sistemas, equipos, Sw, planes
de informática y de auditoria, actuales.
3. Coordinar los planes con Gerencia de Auditoria interna
4. Componentes de éxito de la Planeación:
*Juntas formales de discusión de planes periódicas.
*Seguimiento de deficiencias y debilidades
*Reportes de Auditoria y aseguramiento de calidad
*Capacitación conjunta
*Metodología, técnicas y herramientas comunes.
Personal
1. Políticas de selección y reclutamiento
2. Preparación suficiente y confiable Informática/Auditoría
3. Personal con experiencia, educación, adaptabilidad,
entendimiento, determinación y diligencia.
4. Establecer el número de auditores y horas de auditoría
Control
1. Supervisión oportuna garantiza un producto consistente
2. Ayuda en el desarrollo y control de los presupuestos
3. Es un proceso continuo, desde la planeación hasta el informe final
4. Verificación con los estándares y procedimientos.
Reportes de desempeño
1. Herramientas muy importantes para evaluar:
Productividad y calidad de los proyectos
Resultados y Avances de los proyectos
Áreas susceptibles de control y seguimiento individual y de
grupo.
ACTIVIDADES CRITICAS DE LA AUDITORÍA INFORMÁTICA (i)
Clave:
Conocimiento, habilidades y capacidades profesionales
y personales del auditor informático.
Conocer teóricamente normas, políticas y estándares
de auditoría/informática, no son garantía de seguridad
y confianza.
Experiencia: Práctica, Disciplina, Orden y Objetividad.
Facultades apropiadas de: análisis objetivo,
habilidades de comunicación y modelación conceptual,
observación y capacidad para tomar decisiones.
FUNCION DEL AUDITOR INFORMÁTICO
– Auditoría Interna
– Auditoría Externa
Auditoría Externa
– Preventivos
– Detectores o detectivos
– Correctivos
– Controles Generales
– Controles de Aplicación
– Controles Especiales
Controles Generales
Definición : Son los que se realizan para asegurar
que la organización y sistemas operen en forma
normal.
Ejemplos :
– Separación de funciones.
– Acceso y Seguridad.
– Procedimientos escritos.
– Controles sobre software de sistemas.
– Control sobre la continuidad del procesamiento.
– Control sobre el desarrollo y modificación de sistemas.
Controles de Aplicación
Definición : Son los que se realizan para
asegurar la exactitud, integridad y validez de la
información procesada.
Ejemplos :
Ejemplos :
Cumplimiento de Estándares.
Cumplimiento formal de políticas y
procedimientos.
Grado de Satisfacción: Alta Dirección y
personal usuario.
Prioridades de la alta dirección.
Prioridades de la función de auditoria en
informática.
Otros de interés del auditor.
Elaboración de una matriz de Riesgos
Considera:
Finalidad:
Ejecución de actividades de
seguimiento.
Informática
Automatización de Informática Proveedores, áreas
oficinas usuarias
Red Local Informática Proveedores, usuarios
de la red
Desarrollo de Informática Áreas usuarias,
sistemas asesores
Tipo de Proyectos Responsables Involucrados
Auditoría
Financiera Auditores internos o Áreas de la empresa
externos
Fiscal Auditores internos o Áreas de la empresa
externos
Operativa Auditores internos o Áreas de la empresa
externos
Auditoría en informática
PROVEEDOR DE
SERVICIOS
PROVEEDOR DE
TECNOLOGÍA
ALINEAMIENTO
CON EL NEGOCIO
VALOR
SERVICIOS
INFRAESTRUCTURAS
POR QUÉ DE LA GESTIÓN DE S.T.I. COMO UN NEGOCIO
VISION
MISION
ESTRATEGIA ORGANIZACIONAL
OBJETIVOS del NEGOCIO
OPERACIONES PORTAFOLIO
•Planific. •Planific.
•Gestión •Gestión
OPERACIONES PROGRAMAS
y PROYECTOS
en CURSO autorizados
Actividades Actividades de
proyectos
recurrentes
Aumentan capacidad
Producen
de producir valor
valor
Productos y Servicios
Generación Operación ……
Soporte, Mantenimiento
•Productos
•Servicios
•Resultados
Proyectos Productos y
Servicios
Aumentan
capacidad de Generan valor
producir valor
PARA QUÉ SER …. innovadores,
soporte, …
QUÉ OFRECER ….
Demanda, beneficios