Organizacin del Departamento de Auditora

Informtica
1
ORGANIZACIN DEL
DEPARTAMENTO DE
AUDITORA INFORMTICA
Antecedentes
Auditora alrededor del ordenador
Auditor verificaba los documentos de entrada al
ordenador y los informes producidos, sin entender lo que
pasaba dentro del ordenador
Auditor verificaba la seguridad fsica (incendios, copias
de seguridad, etc.)
Auditor financiero
Auditora a travs del ordenador
Auditor financiero utiliza el ordenador como medio para
acceder a los datos (a travs de paquetes)
Auditora con el ordenador
Utilizando sus posibilidades, utilidades, etc.
Control Interno
Controla que todas las actividades de S.I. sean realizadas
cumpliendo los procedimientos, normas y estndares fijados por
la Direccin
Comprende el plan de organizacin y coordinacin de los mtodos
y las medidas adoptadas dentro de una empresa:
Salvaguardar los activos (Hw, Sw, personas, suministros,
etc.)
Verificar la exactitud y fiabilidad de sus datos
Promover la efectividad operativa
Fomentar el seguimiento de las normas y polticas
establecidas
Es rutinario
Abarca todos los mtodos y medidas diseados para asegurar que
se cumplen
Elementos del Control Interno
Ambiente de control
Integridad, tica y Capacidad del personal de la empresa
Factores de Evaluacin
Existencia e Implantacin de Cdigos de Conducta
Presin para cumplir metas de eficacia poco realistas
Descripcin de los Puestos de Trabajo
Anlisis de conocimientos y Habilidades que se requieren
Participacin de la Alta Direccin
Responsabilidad de los empleados
Evaluacin del Riesgo (progresos tecnolgicos,
cambios en el entorno operativo, nuevo personal,
etc.)
Actividades de Control (preventivos, correctivos, etc.)
Informacin y Comunicacin de la Informacin
Supervisin de los controles internos para asegurarse
que el proceso funciona segn lo previsto
Auditora Interna
No puede tomar parte en funciones de tipo operativo
Control de los controles
Evaluar la adecuacin, grado de efectividad y eficiencia del
sistema de control interno de una empresa
Ayudar a la Direccin en el cumplimiento de sus responsabilidades
y contribuir a que se logren en cada rea resultados ptimos
Prestar un servicio de asistencia y de crtica constructiva
Funciones principales con respecto al control interno
Determinar si los Controles Internos proporcionan la
proteccin necesaria, as como la mxima eficacia operativa
Comprobar si los procedimientos operativos y mtodos se
utilizan tal y como est establecido en las normas de la
empresa
Auditora Interna no es:
Sitio de retiro para directivo en desgracia u obsoletos
Centro de inquisidores (auditora policaca)
Agrupacin de delatores
Proveedor de mano de obra, para solucionar situaciones de
emergencia de otros departamentos
Departamento de filtraciones, obtenidas a travs de la actividad
auditora
Auxiliar de la auditora externa o un enemigo permanente de sta
Un apaga fuegos para toda situacin de emergencia
Un lugar de resentidos y descontentos, que se creen los ms
capacitados y todo lo enjuician negativamente
Un departamento sin categora ni prestigio en la empresa
Auditora Externa
Realizada por alguien ajeno a la entidad auditada
Se centran en las deficiencias de los controles internos
Diferencias con la auditora interna:
Sujeto
Profesional independiente / Empleado de la empresa
Objeto
Opinin independiente / Control y sugerencias de mejora
Informe
Dictamen / Slo recomendaciones internas
Responsabilidad
Civil e incluso penal / Laboral
Continuidad
Peridica / Continua
Auditor
Informtico
Es ms fcil que un informtico adquiera los
principios del control, de la auditora y de la
seguridad, que un auditor financiero llegue a
adquirir el nivel tcnico informtico necesario
En las grandes empresas, cada da existe ms
la tendencia de contar con especialistas en
reas de la auditora informtica
Para los auditores no informticos puede ser
frustrante auditar un entorno informtico,
debido p.e. a que jerga propia de cada
empresa, de cada proyecto
Auditor Informtico
Estndares relativos al mantenimiento de la profesionalidad en la
relacin de auditoras
El auditor participar activamente en la revisin del diseo y
desarrollo de nuevas aplicaciones informticas
El auditor revisar los controles generales en los sistemas
informticos, para determinar que se diseado de acuerdo
con las normas internas en vigor y los requerimientos
legales aplicables
El auditor revisar los controles de las aplicaciones
informticas instaladas para evaluar su fiabilidad
procesando datos a tiempo, de forma exacta y completa
Los auditores informticos creados a partir de no-informticos
mediante cursos, necesitarn una actualizacin de sus
conocimientos a medida que van surgiendo nuevas facetas de
TI
Qu es la Auditora Informtica
A.I. es la revisin de la propia informtica y de su entorno.
Actividades que comprende:
Anlisis de riesgos: prevencin y deteccin de fraudes informticos
y virus entre otras cosas
Plan de contingencia, ante una situacin prevista
Participacin de desarrollo de aplicaciones: auditora preventiva
Asesoramiento, para la instalacin de paquetes de seguridad
Revisin de controles y cumplimiento de los mismos, as como de
las normas legales aplicables
Evaluacin de la gestin de recursos informticos, as como
existencia de polticas y estndares
Apoyo tcnico e informtico en auditoras generales
Entorno informtico comprende:
Todas o algunas de sus reas (equipos, S.O., desarrollo, etc.)
Los estndares y procedimientos en vigor
El grado de satisfaccin de los usuarios y directivos
Los controles existentes
Qu no es la Auditora Informtica
Confusin con auditora de cuentas con ayuda
del ordenador
Objeto a examinar: balances, estados de
cuentas, etc.
Herramienta: el ordenador
Asociacin de la auditora informtica con PCs,
confundiendo la herramienta con el objetivo
principal de la auditora informtica
Auditora informtica la que realiza un auditor
financiero que se ayuda de un ordenador para
escribir su informe
Auditora Informtica - 1
Trata de evaluar la adecuada utilidad, eficiente, fiabilidad y
salvaguarda de la informacin mecanizada que se produce
en una empresa, as como la organizacin de los servicios
que elaboran y procesan
Objetivos
Verificar el Control Interno de la Funcin Informtica
Asegurar a la Alta Direccin y al resto de reas que la
informacin que les llega es la necesaria en el momento
oportuno, es fiable y sirve de base para tomar decisiones
Eliminar al mxima la posibilidad de prdida de informacin por
Fallos en los Equipos, en los Procesos o por una Gestin
inadecuada de los archivos de datos
Detectar y prevenir fraudes por manipulacin de la informacin
o por acceso de personas no autorizadas a transacciones que
exigen trasvases de fondos
Auditora Informtica - 2
Auditora de la Funcin Informtica
Examinar organizacin existente para determinar si responde a
los criterios fijados por la Direccin y a las necesidades
actuales, y asegurar la salvaguarda fsica de la informacin de la
empresa (Funciones Bsicas de Gestin, Administracin,
Organizacin, Normativa General)
Procedimientos de trabajo de Desarrollo, Explotacin y
Mantenimiento
Verificar Controles globales del Sistema Informtico y las
medidas de Seguridad del equipo, los programas y los datos
(Seguridad Fsica de Instalaciones y Datos)
Auditora de los Sistemas Informticos
Evaluar en qu medida se est garantizando el control interno
con la utilizacin de esa aplicacin, la seguridad de los datos y
programa y el rendimiento de la misma en trminos
costo/eficiencia
Perfiles Profesionales de la Funcin
de A. Informtica
Responsabilidades
Auditar aplicaciones financieras y seguridad fsica
Ofrecer soporte con limitaciones a los auditores financieros y externos
Persona con alto grado de calificacin tcnica y al mismo tiempo estar
integrados en las corrientes organizativas empresariales
Perfil
Formacin bsica con una mezcla de conocimientos de auditora
financiera y de informtica en general (p.e. Desarrollo de aplicaciones,
C.V., gestin de proyectos, BD, S.O., redes, etc.)
Especializacin en funcin del entorno empresarial
Gestin del Cambio
Calidad Total, que har que su trabajo sea reconocido como un
elemento valioso dentro de la empresa y que los resultados sean
aceptados en su totalidad
Dimensiones del Trabajo del
Auditor Informtico - 1
Revisin de Controles de las Aplicaciones (19%)
Determinar que los sistemas producen la informacin a
tiempo, exacta y completa
Revisin de Integridad de Datos (13%)
Complecin, consistencia y exactitud
Revisin de C.V. de Desarrollo (5%)
Determinar la adherencia a los estndares de CV de
desarrollo aceptados
Revisin de Controles Generales de los Procedimientos
Operacionales (12%)
Determinar que las aplicaciones se procesan en un entorno
controlado
Revisin de Seguridad (14%)
Asegurar la proteccin adecuada de los programas, de los
datos y de la instalacin de procesamiento de datos
Dimensiones del Trabajo del
Auditor Informtico - 2
Revisin Software de los Sistemas (5%)
Determinar el cumplimiento con las polticas de la organizacin
Revisin de Mantenimiento (6%)
Determinar que los sistemas se han modificado de acuerdo con las
polticas de la organizacin
Revisin de Adquisicin (3%)
Determinar que los recursos de la organizacin se estn utilizando
de forma econmica
Revisin de la Gestin de Recursos del Procesamiento de Datos
(5%)
Determinar su adecuacin en el cumplimiento de los objetivos
organizativos
Gestin de Auditora Informtica (9%)
Utilizar de forma efectiva los recursos disponibles de la funcin de
la auditora informtica y para cumplir el requisito de auditora
informtica de la organizacin
Organizacin de la Funcin de
Auditora Informtica
Auditor informtico es auditor y consultor de la
empresa en materia de
Seguridad, Control interno operativo,
Eficiencia y eficacia, Tecnologa informtica,
Gestin de riesgos, etc.
La concepcin tpica de la funcin de Auditora
Informtica es dentro de la funcin de
Auditora Interna
Nacimiento histrico de la auditora
informtica
Dificultad de separar el elemento informtico
de la auditora operativa y financiera
Principios de la Funcin de
Auditora Informtica
Localizacin ligada a la de auditora interna, con
independencia de objetivos, de planes de formacin
y de presupuestos
Grupo independiente del de auditora interna, con total
accesibilidad a los sistemas informticos
Dependencia del mximo responsable operativo de la
organizacin
Recursos humanos mezcla equilibrada entre personas
con formacin en auditora y organizacin, y
personas con perfil informtico
Personal con titulacin CISA
El tamao slo se puede precisar en funcin de los
objetivos de la funcin.
Organizacin Interna
Jefe Del departamento:
Desarrolla el plan operativo del departamento,
las descripciones de puestos de trabajo, las
planificaciones de actuacin a un ao, los
mtodos de gestin del cambio en su funcin
y los programas de formacin
individualizados, gestiona los programas de
trabajo, los cambios en los mtodos de
trabajo, evala la capacidad de las personas a
su cargo.
Organizacin Interna (II)
Gerente o supervisor de auditora informtica:
Trabaja estrechamente con el Jefe de departamento
en las tareas operativas diarias.
Ayuda en la evaluacin del riesgo de cada uno de los
trabajos, realiza programas de trabajo, dirige y
supervisa directamente a las personas en cada de los
trabajos de los que es responsable.
Realiza formacin sobre el trabajo
Apoya la jefatura de la obtencin del mejor resultado ,
entroncando los conceptos de valor aadido y gestin
del cambio.
Es el que ms vende la funcin con el auditado.
Organizacin Interna (III)
Auditor Informtico:
Son responsables de la ejecucin directa del
trabajo.
Deben tener una especializacin genrica,
pero tambin una especfica.
Debe obtener la informacin , realzar las
pruebas, documentacin del trabajo,
evaluacin y diagnstico de resultados