Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Conocer
los conceptos bsicos de la auditora informtica. los organismos reguladores nacionales e internacionales.
Conocer
Definicin
de Auditora. Clasificacin de la Auditora. Caractersticas de la Auditora. Justificacin para efectuar una Auditora. Objetivos de la Auditora. Organizaciones Normalizadoras.
Mapa
Conceptual o esquema que ilustre los principales conceptos adquiridos. Conversaciones en aula de alumnos-docente.
La
palabra auditora proviene del latn auditorius y de sta proviene la palabra auditor, que tiene la virtud de oir y revisar cuentas.
POR
SU REA DE APLICACIN:
AUDITORIA FINANCIERA AUDITORIA ADMINISTRATIVA AUDITORIA OPERACIONAL AUDITORIA INTEGRAL AUDITORIA GUBERNAMENTAL AUDITORIA DE SISTEMAS
Proceso
sistemtico, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el alcance al que se cumplen los criterios de auditora.
Conjunto de polticas, procedimientos o requisitos
contra los que se compara la evidencia de la auditora
La verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia. La actividad dirigida a verificar y juzgar informacin.
El examen y evaluacin de los procesos del Area de Procesamiento automtico de Datos (PAD) y de la utilizacin de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economa de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.
En
En
En
Obligatorias / Voluntarias
AUDITORA
AUDITORA
EXTERNA:
INTERNA
Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos) Desconocimiento en el nivel directivo de la situacin informtica de la empresa Falta total o parcial de seguridades lgicas y fsicas que garanticen la integridad del personal, equipos e informacin. Descubrimiento de fraudes efectuados con el computador Falta de una planificacin informtica Organizacin que no funciona correctamente, falta de polticas, objetivos, normas, metodologa, asignacin de tareas y adecuada administracin del Recurso Humano Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados Falta de documentacin o documentacin incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en produccin.
Buscar una mejor relacin costo-beneficio de los sistemas automticos o computarizados diseados e implantados por el PAD (Departamento de Procesamiento de Datos).
Incrementar la satisfaccin de los usuarios de los sistemas computarizados Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles. Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. Seguridad de personal, datos, hardware, software e instalaciones Apoyo de funcin informtica a las metas y objetivos de la organizacin Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico Minimizar existencias de riesgos en el uso de Tecnologa de informacin Decisiones de inversin y gastos innecesarios Capacitacin y educacin sobre controles en los Sistemas de Informacin
Es
Salvaguarda los activos. Mantiene la integridad de los datos. Lleva a cabo eficazmente los fines de la organizacin. Utiliza eficientemente los recursos. Cumple con las leyes y regulaciones establecidas.
Detectar de forma sistemtica el uso de los recursos y los flujos de informacin dentro de una organizacin. Determinar qu informacin es crtica para el cumplimiento de su misin y objetivos, identificando necesidades, duplicidades, costos, valor y barreras, que obstaculizan flujos de informacin eficientes. Control de la funcin informtica. Anlisis de la eficiencia de los Sistemas Informticos. Verificacin del cumplimiento de la Normativa en este mbito. Revisin de la eficaz gestin de los recursos informticos.
Interna
Los recursos y personas pertenecen a la empresa auditada. Es remunerada. La organizacin la controla. Los recursos y personas no pertenecen a la empresa auditada. Es remunerada. Distancia entre auditores y auditados: mayor objetividad.
Externa
Estudiar
los mecanismos de control que estn implantados en una empresa u organizacin. Determinar si son adecuados y cumplen unos determinados objetivos o estrategias. Establecer los cambios que se deberan realizar para la consecucin de los mismos.
En
una auditora los mecanismos de control pueden ser: Preventivos De deteccin Correctivos (o de recuperacin ante una contingencia)
Descoordinacin y desorganizacin.
Concordancia con los objetivos. Desvos importantes del plan operativo anual. Alta rotacin de personal.
Debilidades econmicas-financieras.
Incremento de costos. Justificacin de inversiones informticas. Desviaciones presupuestarias. Costos y plazos de nuevos proyectos.
Inseguridad.
Lgica. Fsica. Confidencialidad. Carencia de planes de contingencias.
Auditora
fsica. Auditora de la ofimtica. Auditora de la direccin. Auditora del desarrollo. Auditora del mantenimiento. Auditora de BD. Auditora de la seguridad. Auditora de redes. Auditora del aplicaciones. Auditora de SSD y aplicaciones de simulacin.
Constitucin
legal. Antecedentes. Organigrama. Departamentos. Relaciones jerrquicas y funcionales. Flujos de informacin Cursogramas. Planos.
Entrevistas.
Visitas
Cuando
un auditor profesional se somete a auditar una empresa, lo primero que intenta realizar es mejorar todos los procesos que se llevan en la misma para buscar la eficiencia total. Este trabajo no se hace de la noche a la maana; para ello se empieza a trabajar internamente, por reas o departamentos.
La
mayora de las organizaciones han acometido varias iniciativas en tal sentido tales como:
La reestructuracin de los procesos empresariales. La gestin de la calidad total. El redimensionamiento por reduccin y/o por aumento de tamao hasta el nivel correcto. La contratacin externa. La descentralizacin.
EL
INFORME
Documento inequvocamente vinculado a su autor o autores, convenientemente autenticado, con garantas de integridad y de acceso permitido a quienes estn autorizados, en el que el auditor da su opinin profesional independiente al destinatario. Este informe tiene valor para el auditado, y tambin en ciertos supuestos y escenarios, para terceros y para organismos de control.
INSTITUCIONES NORMALIZADORAS INTERNACIONALES. INSTITUCIONES NORMALIZADORAS PERUANAS NORMAS INTERNACIONALES DE EVALUACION Y CERTIFICACIN NORMA TCNICA PERUANA NTP-ISO/IEC 17799
ONGEI:
INDECOPI:
TCSEC -
ITSEC/ITSEM
ITSEC (Information Technology Security Evaluation Criteria) Es el equivalente europeo del Libro Naranja, pero ms moderno y con mayor alcance que aqul. Se conoce comnmente como Libro Blanco. Ha surgido de la armonizacin de varios sistemas europeos de criterios de seguridad en TI. Tiene un enfoque ms amplio que TCSEC. ITSEM (Information Technology Security Evaluation Manual) Manual de evaluacin de la seguridad de TI que forma parte del ITSEC versin 1.2 y cuya misin es describir cmo aplicar los criterios de evaluacin del ITSEC. Contiene mtodos y procedimientos de evaluacin suficientemente detallados para ser aplicados a evaluaciones de seguridad realizadas tanto en el sector privado como en el pblico.
ISO/IEC 27000
Familia de normas para la gestin de la seguridad de la informacin. Proporciona una visin general de los sistemas de gestin de la informacin de seguridad, que constituyen el objeto de la familia de normas del sistema de gestin de la seguridad de la informacin (SGSI), y define los trminos relacionados.
ISO
17799
ISO/IEC
27002
Especificaciones del Sistema de Administracin de Seguridad de la Informacin. Pertenece a la familia de normas ISO 27000.
LA AUDITORA
ES UNA ACTIVIDAD NECESARIA DE SER APLICADA AL INTERIOR DE CADA ORGANIZACIN. EXISTEN VARIAS NORMAS REGULADORAS, NACIONALES E INTERNACIONALES. LA NTP ES LA NORMA TECNICA PERUANA QUE DEBEMOS APLICAR.