Está en la página 1de 31

Introducción Conceptual

Auditoria Informática Docente


Docente : RodrigoVilla
: Rodrigo VillaUreta.
Ureta.
2013
2013
Introducción
 En la actualidad la Informática
conforma el apoyo tecnológico más
importante en cualquier tipo de
Empresa, lo que obliga a tener
procedimientos de evaluación y
control sobre el proceso
administrativo que se ejerce sobre
estas áreas.
 De acuerdo a lo anterior, la
importancia de dar al alumno los
conocimientos necesarios sobre las
principales metodologías y técnicas
para realizar la Auditoria de Sistemas
en la organización.
Introducción
 El Departamento de Informática
requiere fiscalización similar a la
de cualquier otra área de la
organización, ya que en ella:
 Se manejan todos los activos de la
empresa.
 Se generan y almacenan activos de
valor muy considerable.
 Se genera la información operativa y
para toma de decisiones.
Concepto de Auditoría
 Definición de Auditoria: es un
examen crítico para evaluar
la eficacia y eficiencia de una
sección u organismo.

INEFICAZ + INEFICAZ +
INEFICIENTE EFICIENTE

EFICAZ + EFICAZ + EFICIENTE


INEFICIENTE = EFECTIVO
Objetivos de la Gestión
Informática
 Eficacia - Cumplir requerimientos de
usuarios.
 Eficiencia - Utilizar recursos en forma
óptima.
 Seguridad - Mitigar adecuadamente
los riesgos.
Síntomas de la Necesidad
 Discrepancia continua entre
personal de informática y
usuarios.
 Aumentos presupuestarios
significativos sin aparente razón.
 Percepción por parte de usuarios
de servicio inadecuado.
 Desorientación respecto de
acciones futuras a tomar.
 Cambios drásticos o períodos de
fuerte crecimiento de la gestión.
Oportunidad de la Aplicación
 ¿Cuándo debo evaluar y con qué
frecuencia?
 ¿Cuándo se suele evaluar?
 Condiciones de crisis en el procesamiento.
 Después de grandes inversiones.
 ¿Cuándo se debiera evaluar?
 En cambios gerenciales
 Antes de decisiones importantes
 En cambios estratégicos empresariales
 En general la evaluación debiera ser un
proceso, no un proyecto.
Objetivos Específicos
 Debe considerarse el problema o
la decisión principal que dio
lugar a la evaluación.
 por parte de Informática de
Solicitud
ampliar capacidad de equipamiento.
 Problemas empresariales causados
por recepción de información
inadecuada, poco confiable o
inoportuna.
 Solicitud de aumentos en planta de
personal.
 Antecedente reciente de falla, error,
fraude o siniestro.
Definición
 La Auditoria es un proceso
mediante el cual el auditor
obtiene evidencias que le
permiten formarse una opinión
acerca de la responsabilidad de
la información elaborada.
 La Auditoria de Sistemas es la
revisión y la evaluación de:
 los controles, sistemas,
procedimientos de informática
 los equipos de cómputo, su
utilización, eficiencia y seguridad
 la organización que participan en el
procesamiento de la información.
Definición
 Debe evaluar los sistemas de
información, en general, desde sus
entradas, procedimientos, controles,
archivos, seguridad y obtención de
información.
 Es de vital importancia para el buen
desempeño de los sistemas de
información, que proporciona los
controles necesarios para que los
sistemas sean confiables y con un
buen nivel de seguridad.
 Además, debe evaluar todo
(informática, organización, hardware y
software).
Objetivos
 Los principales objetivos de la
auditoría de sistemas son:
 Control de la función informática
 Análisis de eficiencia de los
sistemas informáticos
 Verificación del cumplimiento de
normativas
 Revisión de la eficaz gestión de
recursos
 Dos puntos de vistas:
 Enfoque Administrativo
 Enfoque Técnico
a) Enfoque Administrativo
 Garantizar la compatibilidad de los
sistemas con la alta administración
 Implantar controles adecuados.
 Administrar efectivamente el ciclo de
desarrollo.
 Garantizar que cada uno tenga solo la
 información que necesita.
 Asegurar la existencia de pistas (para
apoyar el diagnóstico)
 Lograr un equilibrio de la relación
beneficio/costo.
b) Enfoque Técnico
 Comprobar la fiabilidad de la
herramienta informática y la
utilización que se hace de la
misma.
 Aspectos que se tiene en
cuenta:
 Documentación
 Fallas de software
 Diversidad
 El Factor humano
 El Factor económico
¿Porqué realizar una
Auditoría de
Sistemas de
Información?
Flujo de las transacciones o
procesos significativos
Procesamiento
Ingreso Egreso

Veamos el siguiente video


Proceso de Auditoria

 Conocer sus
características y
determinar su calidad

 Definir la forma de
revisar

 Aplicar procedimientos
de auditoría que sean
necesarios
El Proceso de Auditoría
 Evaluación de riesgo de todas
las áreas auditables (priorizar)
 Planificación de la auditoria de
las áreas auditables
seleccionadas
 Revisión, prueba y evaluación
de la información
 Comunicación de resultados
 Seguimiento
Tipos de Auditoría
CLASE OBJETO FINALIDAD
Financiera Cuentas anuales Estados contables
Operatividad
Recursos de TI,Aplicativos,
Informática eficiente,
plan de contingencia
según normas
Eficacia, eficiencia,
Gestión Dirección
economía.
Adecuación de las
Cumplimiento Normas implementadas operaciones a las
normas
Controles
 Los datos son uno de los recursos más
valiosos de las organizaciones y, aunque
son intangibles, necesitan ser
controlados y auditados con el mismo
cuidado que los demás inventarios de la
organización.
 Definición: Controles son todos aquellos
mecanismos existentes dentro del
sistema y de la organización, que tienen
como objetivo asegurar la veracidad e
integridad de la información que maneja
el sistema.
 Existen tres tipos de controles:
 Controles Generales
 Controles de Aplicación
 Controles Especiales
Controles de Aplicación
 Definición:
 Son los que se realizan para
asegurar la exactitud, integridad y
validez de la información
procesada.
 Ejemplos:
 Control sobre los datos de entrada
 Control sobre los datos constantes o
fijos
 Control sobre el procesamiento
 Control sobre los datos rechazados
 Control sobre los datos de salida
Controles Especiales
 Definición: Son los que se realizan para
asegurar la integridad, seguridad y
aspectos operacionales.
 Ejemplos:
 Control sobre la entrada de datos en línea
 Procedimientos de recuperación y reenganche
en sistemas en línea
 Control sobre la modificación de programas
 Control sobre el procesamiento distribuido
 Control sobre sistemas integrados
 Control sobre bases de datos
Asignación Recursos
 Los recursos requeridos para el
desarrollo de la función de Auditoria
Computacional se dividen en:
 Recursos Humanos

 Recursos Tecnológicos

 Los recursos humanos se reflejan en el


auditor computacional y los tecnológicos
en el hardware, software y técnicas de
auditoria que este profesional necesita
para cumplir su función.
Problemas Principales

 No siempre es fácil de
implementar la función de
auditoria computacional.
 Existen dos grandes
problemas que dificultan su
implementación:
 a) Relacionados con el personal
 b) Relacionados con la empresa
Relacionados con el Personal
 Los reportes del auditor son negativos.
 El auditor es la policía.
 Los requerimientos de control no son
realistas.
 El auditor carece de experiencia.
 El auditor es demasiado simplista, todo
es fácil para él.
 Cuesta entablar una comunicación
adecuada.
 Los controles propuestos son costosos.
Relacionados con la Empresa
 Documentación inadecuada de los sistemas y
programas.
 Falta de procedimientos.
 Ausencia de conceptos de seguridad yo control
de información.
 Asignación de recursos, presupuesto
restringido.
 Problemas técnicos en el CPD.
 Planificación inadecuada.
 Apoyo poco comprometido de los niveles
gerenciales.
 Técnicas y herramientas inadecuadas para
efectuar auditoria.
 Problemas internos entre auditoria tradicional y
auditoria computacional.
¿Que es la Auditoría de
Sistemas de Información
según ISACA?

 “ Es un Proceso de Valuación
independiente y objetiva que
asegura que la información ha
sido procesada en una manera
segura e integra, que las
operaciones son eficientes,
efectivas y adecuadas; y, si se
salvaguarda la información ”

http://www.isaca.org
¿Qué tipo de trabajo hace el
Auditor de IS?
 Revisión del procesamiento de la Tecnología
 Revisión de aplicaciones
 Revisiones Antes de una implementación
 Revisiones de Seguridad Lógica y Física.
 En todas las Organizaciones -- Financieras,
Comercio, Manufactura.
 Tareas de Consejero
 Entrenamiento Corporativo y Departamental
 Soporte Financiero Operacional través de
Software de Auditoría
¿Como hacen su trabajo los
Auditores Computacionales?
 Desarrollo o uso de programas de
auditoria por computadoras para
recolectar y analizar información.
 Conducir entrevistas para un mejor
entendimiento del proceso, del
producto y del control.
 Utiliza procedimientos específicos de
auditoria.
 Realiza diagramas de flujo,
descripciones narrativas y otros
documentos de control para evaluar
controles claves.
 Desarrollar recomendaciones para
soportar y realzar controles IS.
¿Porque Considerar la Auditoría
en S.I. Indispensable ?

 Permite un conocimiento amplio


de la organización o industria y
acercamiento a las T.I.
 Exposición a un mayor nivel
gerencial.
 Destierro de otras disciplinas.
 Crecimiento del Mercado de las T.I.
 Oportunidades de especialización.
El objetivo final del
Auditor de Sistemas
El objetivo final que tiene el
auditor de sistemas es dar
recomendaciones a la alta gerencia
para mejorar o lograr un adecuado
control interno en ambientes
de tecnología informática con el fin
de lograr mayor eficiencia
operacional y administrativa.
Muchas Gracias

Preguntas
y Respuestas…