Auditoria informatica clases-1-2

Auditoría Informática

“La Información es un Activo de la Empresa”


El notorio incremento en el uso de computadores para procesar la información acaecido en los últimos cuarenta años, ha determinado que, con el propósito de conseguir los objetivos que la administración se propone, deben existir sistemas de control interno adecuados para asegurar la integridad de dicha información.


Control InternoLa administración es responsable por

establecer, diseñar y mantener controles y procedimientos internos adecuados para alcanzar los objetivos organizacionales.


Control Interno Controles y procedimientos Las transacciones están

adecuadamente autorizadas Los activos están adecuadamente

protegidos contra uso no autorizado o inadecuado

Que las transacciones estén adecuadamente registradas


El Auditor de Sistemas debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores en caso de que existan, o bien mejorar la forma de actuación.


Revisión, evaluación y elaboración de un informe dirigido al nivel ejecutivo encaminado a un objetivo específico en el ambiente computacional y los sistemas.


algunos conceptos y tareas : Verificación de controles en el procesamiento de la

información y en el desarrollo de los sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.

Examen y evaluación de los procesos del Area de Procesamiento de Datos y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.


Proceso de recolección y evaluación de evidencia encaminada a determinar si un sistema automatizado permite:

Salvaguarda activos (Daños, DestrucciónUso no Autorizado, Robo)

Mantiene Integridad (Información Precisa, Completa, Oportuna y Confiable)

Alcanza metas organizacionales (Contribución de función informática)

Consume recursos eficientemente (Consume recursos adecuadamente en el procesamiento de la información.


AUDITORÍA A SISTEMAS DE INFORMACIÓN

Emitir una opinión respecto del nivel de riesgo presente en un Sistema de Información Computacional, considerando los controles internos generales y específicos establecidos en el mismo para resguardar la calidad de la información y asegurar su correcta captura, procesamiento y entrega


Es el examen o revisión de carácter objetivo (independiente), crítico (evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los Sistemas de Información Computarizados, con el fin de emitir una opinión profesional (imparcial) con respecto a: Eficiencia en el uso de los recursos informáticos Validez de la información Efectividad de los controles establecidos.


AUDITORÍA A PLATAFORMAS TECNOLÓGICAS

Emitir una opinión respecto del nivel de riesgo presente en una Plataforma Tecnológica (infraestructura y servicios básicos de TI).

Host (IBM, TANDEM) Infraestructura de Redes y Comunicaciones Centrales de Telefonía Servidores Sistemas Operativos asociados (Microsoft-No

Microsoft) Otras aplicaciones de más bajo nivel o

propietarias (Microsoft-No Microsoft).


ProcesoConjunto de recursos y actividades interrelacionados que transforman elementos de entrada en elementos de salida, que cumplen un objetivo completo y agregan valor para el cliente.

INAct 1 Act.2 Act.4 OUT

Act.3 Act. 5IN


Mapa de Procesos Es una representación de todos los procesos de una organización.

Niveles de Proceso Macroprocesos: Proceso de alto nivel, que se visualiza en la cadena de

valor de una organización. Cadenas de Valor del Proceso: Es la representación de un proceso,

con las principales etapas de mismo, se considera los eventos "gatilladores" del proceso y los resultados.

Flujo de Actividades: Es la representación real de un proceso conceptual. Considera también los roles y aplicaciones del proceso.

Flujo de Tareas: Es la representación del detalle de una actividad en las tareas o pasos requeridos para su ejecución por un rol.

Descripción de Actividades o Tareas: Es la descripción detallada de cómo se realiza una actividad o una tarea.


Objetivos Generales de la Auditoría de Sistemas Buscar una mejor relación costo-beneficio de los

sistemas automáticos o computarizados diseñados e implantados.

Incrementar la satisfacción de los usuarios de los sistemas computarizados

Asegurar una mayor integridad, confidencialidad y confiabilidad (Seguridad) de la información mediante recomendaciones y controles.

Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.

Seguridad de personal, datos, hardware, software e instalaciones.

Auditoría Informática continuación…

Apoyo de la función informática a las metas y objetivos de la organización

Minimizar existencias de riesgos en el uso de Tecnología de información

Decisiones de inversión y gastos innecesarios

Capacitación y educación sobre controles en los Sistemas de Información.

Código de Conducta de la ISACA Los auditores deberán:

Actuar en interés de sus accionistas, empleadores, clientes y público en general en forma diligente, leal y honesta, y no contribuir a sabiendas en actividades ilícitas o incorrectas.

Mantener la confidencialidad de la información obtenida durante sus deberes. La información no deberá ser utilizada en beneficio propio o divulgada a terceros no legitimados.


Código de Conducta de la ISACA (Continuación…)

Los auditores deberán: Ejercer sumo cuidado al obtener y

documentar material suficiente sobre el cual basar sus conclusiones y observaciones.

Apoyar la entrega de conocimientos a la dirección, clientes y publico en general para mejorar su comprensión de la auditoría y TI.



Los auditores deberán: Cumplir con sus deberes en forma

independiente y objetiva, y evitar toda actividad que comprometa o parezca comprometer su independencia.

Mantener su capacidad en auditoría de TI mediante la capacitación continua y profesional.



Los auditores deberán: Mantener altos estándares de conducta y

carácter tanto en sus actividades profesionales como en las privadas.


Código de Conducta British Computer Society

Conducta Profesional; dignidad, reputación Interés Público y de terceras personas Fidelidad; cumplir obligaciones con

empleadores y clientes Competencia técnica Imparcialidad; informes por escrito a sus

clientes de actividades que puedan perjudicar un dictamen.



Perfil del Auditor de SistemasTecnologías de InformaciónAdministraciónNegocio (Bancario, financiero)Metodologías de

Aseguramiento de SWModelosTecnologías de Punta


Debe ser parte de la formación profesional: Hardware, Software, Compiladores ,Imágenes, Sistemas Operativos, Bases de Datos, Análisis

de Sistemas etc). Gestión de Tecnologías de Información

Seguridad, Calidad, Ingeniería de Software Administración de Proyectos


Impacto de las TI en las Organizaciones

Internet: Conocida como la red de redes, pues se trata de una de las redes más grandes con un estimado de mil quinientos millones de usuarios (2008).

Para funcionar utiliza el conjunto de protocolos TCP/IP.

Fue creada a finales de la década del 60 y se llamó al principio ARPANET; pensada para el área militar y usada por científicos.

Intranet: Red entre computadoras montada para el uso exclusivo dentro de una empresa u hogar. Se trata de una red privada que puede o no tener acceso a Internet.Sirve para compartir recursos entre computadoras


Impacto de las TI en las Organizaciones

TCP/IP: (Transfer Control Protocol / Internet Protocol). Es el protocolo que utiliza internet para la comunicarse.

B2B: Forma de comercio electrónico en donde las operaciones comerciales son entre empresas y no con usuarios finales

CRM: Modelo de gestión orientado hacia los clientes, es el concepto más cercano al Marketing Relacional. Sistemas informáticos de apoyo a la gestión de las relaciones con los clientes, a la venta y al marketing. Con este significado CRM se refiere al Data warehouse o almacenamiento de datos con orientación a la información de la gestión de ventas, y de los clientes de la empresa. Involucra: aumento de venta por cruce de productos, venta proactiva, mejorar los niveles de retención y fidelización de clientes.

http://es.wikipedia.org/wiki/Data_warehouse

http://es.wikipedia.org/wiki/Data_warehouse


Riesgos

“La incertidumbre que ocurra un evento que podría tener un impacto en el logro de los objetivos”.


Riesgos

Los riesgos cuando se materializan, se denominan errores, irregularidades u omisiones, los cuales pueden generar una pérdida monetaria, en la imagen de la empresa o incumplimiento de normativa externa.


Riesgos

Riesgo = Impacto * Probabilidad

Impacto: es el efecto o consecuencia cuando el riesgo se materializa

Probabilidad: representa la posibilidad que un evento dado ocurra.


Riesgos

Riesgo Inherente: Riesgo inherente son aquellos riesgos propios de la materia y/o componentes de ésta. Se entiende que una materia por su naturaleza tiene riesgos que surgen por diversas fuentes, como los errores, irregularidades o fallas que pudieran ser importantes en forma individual o en conjunto con otros riesgos. Los riesgos inherentes a la materia pueden tener o no controles elaborados por la dirección para mitigar su probabilidad o su impacto.

Los riesgos inherentes a la materia bajo análisis pueden ser relativos al entorno, ambiente interno, procesos, información, etc


Riesgos Inherentes

Riesgo de CréditoRiesgo FinancieroRiesgo OperacionalRiesgo de Tecnología de la InformaciónRiesgo Calidad de Servicio y transparencia de la

Información


Riesgos Inherentes

Riesgo de Crédito: Exposición a una pérdida real o el costo de oportunidad como consecuencia del incumplimiento de pago de una persona natural o jurídica.

Riesgo Financiero: ocurrencia de un imprevisto por variaciones o cambios en la economía local o internacional que podría afectar los descalces de caja o posiciones asumidas por inversiones y su liquidez, como asimismo los descalces globales de activos.

Riesgo Operacional: Se define como el riesgo de pérdida debido a la inadecuación o fallas en los procesos, el personal y los sistemas internos o bien a causa de acontecimientos externos (fraudes, daños activos materiales, fallas en procesos, etc). Incluye riesgos legales y normativos.

Auditoria informatica clases-1-2

Documents

Transcript of Auditoria informatica clases-1-2