AUDITORIA TECNOLOGIA INFORMATICAauditor2006.comunidadcoomeva.com/blog/uploads/1.2.Conceptos... ·...

AUDITORIA TECNOLOGIA INFORMATICAFERNANDO RADA BARONA

Estrategia para la Auditoría de Sistemas de Informa ción

Necesidad de definir una estrategia�Las TIC han acompañado la automatización y el creci miento�La información y los recursos TIC como activos de l as

organizaciones�Dependencia de las TIC

Implicación de la Dirección�Incremento vulnerabilidad de los sistemas�Dar respuesta a la dependencia de la información�Importancia costes e inversiones TIC�Potencial de las TIC para introducir cambios�Desconfianza en los procedimientos automatizados

Objetivos de las Administraciones Públicas:

� Cumplimiento de la legalidad vigente

� Eficacia

� Eficiencia

Auditoría Sistemas de Información > Supervisión de los riesgos de los sistemas de infor mación que pudieran afectar al cumplimiento de la legalida d vigente, la eficiencia y la eficacia de los proceso s soportados por los sistemas de información, en espe cial los de la administración electrónica.

Estrategia para la Auditoría de Sistemas de Informa ción

Esquema Organizativo

Naturaleza del trabajo de auditoría de sistemas de información

�Protección de datos de carácter personal�Control de accesos�Administración Electrónica�Equipamiento informático�Seguridad sistemas�Desarrollo y mantenimiento de aplicaciones�Explotación de sistemas de información�Contratación bienes y servicios TIC�Técnica de sistemas�Continuidad del servicio TIC�Acreditación de confianza



Acciones proactivasParticipación en el ciclo de control�Asegurar existencia de controles internos razonable s y adecuados

�Divulgar y fomentar las buenas prácticas

�Fomentar la documentación de los sistemas y procedi mientos

�Asesorar en la implementación de pistas de auditorí a

�Asesorar en las salvaguardas de activos

�Asegurar eficiencia gestión recursos



Auditoría forenseDesafío ante delitos informáticos, garantizando la evidencia digital que se presentase en un proceso judicial.�Recuperar información�Determinar cusa y origen de una situación�Identificar autor(es) acciones ilícitas�Identificar uso inapropiado de los medios de la Org anización



Apoyo en auditorías externasSupervisión de auditores externos.

Apoyo a otras áreas de AuditoríaAsistencia para la obtención, estructuración y análisis de la información.

Auditor Informático

Áreas de Conocimiento (certificables)

�Técnica o metodología de auditoría informática

�Gestión, planificación y organización de las TIC

�Infraestructura técnica, prácticas operativas y pro tección de activos

�Recuperación de desastres y continuidad de la activ idad

�Desarrollo, adquisición, implementación y mantenimi ento de sistemas

�Evaluación de procesos y gestión de riesgos

Planificación de Actuaciones

Qué auditar� Cumplimiento de requerimientos legales� Sensibilidad de la organización a riesgos / resulta do de análisis� Resultado de auditorías anteriores� Condicionantes de la Organización

Cuándo auditar� Priorizar las actuaciones detectadas y ajustando el alcance a

los recursos disponibles y las demandas de la direc ción� Elaborar el documento de planificación periódica de la unidad

de auditoría� Revisión periódica del plan inicial para incorporar actuaciones

no previstasCómo auditar� Proceso para planificar las actuaciones individuale s

AUDITORÍA

Proceso sistemático de obtención y evaluación objetiva acerca de aseveraciones efectuadas por

terceros referentes a hechos y eventos de naturaleza económica, para testimoniar el grado de

correspondencia entre tales afirmaciones y un conjunto de criterios convencionales, comunicando

los resultados obtenidos a los destinatarios y usuarios interesados

American Accounting Association

AUDITORÍA DE SISTEMAS DE INFORMACIÓN

AUDITORÍA DE SISTEMAS DE INFORMACIÓN

la AUDITORIA de SI es el

PROCESO de RECOGER, AGRUPAR y EVALUAR

EVIDENCIAS para

DETERMINARsi un SISTEMA INFORMATIZADO

SALVAGUARDA los ACTIVOS,mantiene la INTEGRIDAD de los DATOS,lleva a cabo

los FINES de la ORGANIZACIÓNy UTILIZA EFICIENTEMENTE los RECURSOS

QUE ES LA AUDITORIA TECNOLOGIA INFORMATICA

QUE ES LA AUDITORIA TECNOLOGIA INFORMATICA

Conjunto de procedimientos y técnicas para evaluar total o parcialmente los recursos tecnológicos del negocio, con el objetivo de salvaguardar los activos y recursos, garantizar el desarrollo eficiente de sus actividades acorde con los objetivos estratégicos, con el fin de obtener la eficacia exigida en el marco de la organización.

POR QUE LA AUDITORIA T/IPOR QUE LA AUDITORIA T/I

ASPECTOS RELAVENTES

☺ Cambio cultural del concepto de D.P. Al concepto de S.I.

☺ La tecnología de la informática☺ Desarrollo de la informática☺ Planeación estratégica de sistemas☺ Herramientas de calidad y productividad

del software☺ Control preventivo vs control correctivo☺ Valores morales y participación ética☺ Auditoria - consultoría☺ Independencia y confianza

PORQUE LA AUDITORIA T/IPORQUE LA AUDITORIA T/I

☺ Inversiones cada vez mas cuantiosas en informática.☺ Crecimiento permanente y frecuentemente desordenado.☺ Paso de soporte operativo a soporte cada vez mas Gerencial.☺ Creciente dependencia.☺ Mayores conflictos entre usuarios y la Gerencia de informática.☺ Dispersión de la informática por múltiples centro autónomos de procesamiento.☺ La intervención activa de organización y métodos.

EVOLUCIÓN DE LA INFORMATICA EN LAS EMPRESAS.

PROBLEMAS DE LA AUDITORIA EN T/IPROBLEMAS DE LA AUDITORIA EN T/I

� Falta de documentación.� Escasez de personal idóneo.� Planeación inadecuada. Falta de apoyo y

compromiso de la alta Gerencia.� Técnicas y herramientas inadecuadas.� Capacitación vs tecnología.� Problemas, relaciones y comportamientos.� El control es visto como un obstáculo.� El control se ejerce como vigilancia, poder

desconfianza.

METAS DE LA AUDITORIA T/IMETAS DE LA AUDITORIA T/I

☺Determinar la adherencia de los servicios informáticos con las políticas, objetivos, metas y normas de la organización.

☺ Evaluar la gestión de informática y tecnología por el desempeño y calidad de los servicios prestados.

☺ Evaluar la planeación, dirección y organización del área de informática.

☺ Evaluar la efectiva utilización de los recursos informáticos.

☺ Evaluar que exista una efectiva función de desarrollo.

☺ Evaluar que exista eficiencia en el mantenimiento de los aplicativos.

☺ Evaluar que exista una función de control de calidad.

☺ Evaluar que exista una función de control técnico.

☺ Evaluar que exista una adecuada documentación y estándares.

AUDITORIA T/I UN CAMBIO GENERACIONALAUDITORIA T/I UN CAMBIO GENERACIONAL

☺Auditoria aplicaciones producción

☺Auditoria centro de procesamiento de datos.

☺Auditoria al desarrollo de sistemas de información.

☺Auditoria plan de contingencias.

☺Auditoria adquisición de software.

☺Auditoria a las comunicaciones -telematica.

☺Auditoria bases de datos.

☺Auditoria seguridad física y seguridad lógica.

☺Auditoria aplicativos en mantenimiento.

AUDITORIA DE CAMBIO GENERACIONAL SISTEMASAUDITORIA DE CAMBIO GENERACIONAL SISTEMAS

PASO GESTIONProcesos.Reingeniería.

Planeación estratégicaMejoramiento continuo.

PASO TECNOLOGICOSoftware. Bases de datos.Lenguajes de cuarta generación.Telecomunicaciones.Redes.Satélites.CriptografíaCorreo electrónico.

OBJETIVOS DE LA FUNCIÓN DE AUDITORIA TECNOLOGIA INFORMATICAOBJETIVOS DE LA FUNCIÓN DE AUDITORIA TECNOLOGIA INFORMATICA

Se establece como objetivo fundamental de la auditoria de tecnología informática el proporcionar a la alta gerencia una seguridad razonable de que las aplicaciones en producción, el desarrollo de sistema de información, los equipos de computo y datos, están siendo utilizados adecuadamente, que se operan de acuerdo con los estándares de seguridad y confiabilidad establecidos y que están debidamente controlados para evitar perdidas o su usos indebidos

OBJETIVOS GENERALES

OBJETIVOS DE LA FUNCIÓN DE AUDITORIA TECNOLOGIA INFORMATICAOBJETIVOS DE LA FUNCIÓN DE AUDITORIA TECNOLOGIA INFORMATICA

3. El cumplimiento de las normas, políticas y procedimientos que permitan garantizar que las aplicaciones en producción, los desarrollos de sistemas, y los equipos de sistemas, se operan de acuerdo con los estándares de seguridad y confiabilidad establecidos en la organización

☺ Lograr que en el ambiente informático existan los controles eficientes y efectivos a fin de proveer seguridad razonable sobre:

1. El cumplimiento de las metas y objetivos establecidos porla Alta Gerencia en el área de informática.

2. La utilización eficiente y eficaz de los recursos deinformáticos (Humanos, Equipos y de Aplicación).

OBJETIVOS DE LA FUNCION DE AUDITORIA T/IOBJETIVOS DE LA FUNCION DE AUDITORIA T/I

OBJETIVOS ESPECÍFICOS☺ Revisar y evaluar las normas, políticas y procedimientos establecidos por área de informática para el desarrollo de aplicaciones y en la operación de los sistemas. ☺ Evaluar permanentemente la seguridad existentes en los centros de computo, en los procesamientos de la información y sobre los programas y archivos de datos de las Empresas.☺ Prever situaciones de riesgos y sugerir a la Gerencia los controles suficientes y necesarios que eviten situaciones anormales en las Empresas.☺ Comprobar la seguridad y confiabilidad de la información, administrativa, operativa, financiera, legal etc., desarrollada dentro de la Empresa.☺ Evaluar la calidad del desempeño en la conducción de las responsabilidades asignadas para el área de la informática.☺ Participar en el desarrollo de los sistemas de información o en su compra, a fin de verificar la incorporación o diseño de los controles necesarios para garantizar su operatividad en forma confiable ,eficiente y segura.

HABILIDADES DE UN AUDITOR T/IHABILIDADES DE UN AUDITOR T/I

☺ Asesor-consultor.☺ Comunicador.☺ Retroalimentador.☺ Manejador de conflictos.☺ Gestor de iniciativas.☺ Gestor de cambio.

LIDER

DEFINICION DE AUDITORIA T/IDEFINICION DE AUDITORIA T/I

Ya analizados unos conceptos básicos, definamos lo que es la auditoria tecnología informática: Parte de la auditoria General, enfocada a evaluar los recursos informaticos de las empresa para garantizar la integridad, confidencialidad, exactitud y seguridad de la información para la toma de decisiones.

OTRA DEFINICION DE AUDITORIA T/IOTRA DEFINICION DE AUDITORIA T/I

La Auditoria tecnología informática la podemos definir también como un proceso de investigación, que tiene por objeto evaluar el sistema de control interno informático y la información computarizada, para emitir una opinión independiente sobre la validez técnica del sistema de control vigente y la confiabilidad de la información producida por el sistema. La auditoria en ningún momento implica el diseño,

implantación y ejecución de controles. Su función es eminente evaluativa y asesora.

Dos enfoques de la auditoria.

El enfoque tradicional de la auditoría.

Limitado a los controles contables internos.

No se enfocaba a las actividades claves.

Sólo interesaba al personal financiero.

En la actualidad.

Los SI intervienen en todas las actividades.

El auditor moderno evalúa riesgos y comprueba controles.

Demuestra conocimientos informáticos.

Tipos de auditorias

Financiera

Informática Cumplimiento

Gestión

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar siun sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a caboeficazmente los fines de la organización y utiliza eficientemente los recursos

Objetivos

Auditoría de TI

Objetivos específicos�Evaluar la intervención de la auditoría en el desarrollo,

implementación y mantenimiento de aplicaciones.

�Evaluar las políticas y criterios para la adquisición y/o desarrollo del software.

�Evaluar los riesgos y fraudes de mayor incidencia al interior de la empresa.

�Examinar la documentación y los procedimientos existentes para determinar su actualización y efectividad.

�Constatar si el personal se encuentra capacitadopara aplicar controles y procedimientos de seguridad.

Auditoría de TI

Objetivos específicos�Comprobar la participación de los usuarios durante

las etapas de análisis, diseño y puesta en marchade las diferentes aplicaciones.

�Evaluar los procedimientos para asignación de claves de acceso, modificaciones, cancelaciones, etc.

�Revisar los estándares de producción y comprobar la calidad de la información producida.

�Verificar la programación de los mantenimientos a las aplicaciones

Auditoría de TI

Justificación

Auditoría de TI

BENEFICIOS DE LA AUDITORIA T/IBENEFICIOS DE LA AUDITORIA T/I

� Asesora a la Alta Gerencia en la toma de decisiones correspondiente al área de tecnología informática.

� Asesoría al personal de desarrollo de sistemas, en materia de control informático, para diseñar los controles necesarios para garantizar la confiabilidad de los procesos

☺ Examinar y evaluar el sistema de control de las aplicaciones en producción, garantizando confiabilidad y credibilidad de la información suministrada para la toma de decisiones.

☺ Auxilia a los Auditores Financieros y Revisores Fiscales para que puedan cumplir con la función de dar fe publica sobre la razonabilidad de las cifras mostradas en los Estados Financieros del negocio.

BENEFICIOS DE LA AUDITORIA DE SISTEMAS

� Complementa los controles ejercidos por los usuarios internos y externos del s.i.c.

� Promueve el mejoramiento de la cultura de control en la organización

� Previene la ocurrencia de situaciones perjudiciales para la organización

� Genera actitud positiva hacia los controles en los responsables de las operaciones de la empresa

� Promueve la eficiencia operacional en el p.e.d.

� Complementa el control que ejerce la gerencia de sistemas

AUDITORIA DE T/I

Auditoria que comprende la evaluación de todos los aspectos de los sistemas automatizados de procesamiento de información, incluyendo los procesos no automatizados relacionados y las interfaces entre ellos

EFECTOS DE LA INFORMATICA EN LA AUDITORIA

� Nuevas funciones y recursos a auditar

� Aumento de los riesgos por la dependencia de las empresa de sus sistemas

� Incremento drásticos en p.e.d

� Migración de controles al ambiente p.e.d.

� Menos visibilidad de las pistas de auditoria

� Segregación de funciones hombre - maquina

ESTÁNDARES INTERNACIONALES DE AUDITORIA APLICABLES AUDITORIA TI

DECRETO 0302 DE 2915

NAI - Normas de aseguramiento de información

Auditoria y revisión información histórica

Trabajos de aseguramientos diferentes de auditoria información histórica

Las Normas internaciones trabajo de revisión

Control de calidad

Normas internacionales de Auditoría (NlA), (200 hasta el 810).

Normas Internacionales de Trabajos para Atestiguar NITA en español e IASE (3000 al 3402).

Normas Internacionales de Trabajos de RevisiónNITR en español y ISRE (2400 – 2410).

Normas Internacionales de Control de Calidad (NICC) en español e ISQC

CODIGO DE ETICA PROFESIONAL DE LA CONTADURIA

Es decir que entre las Normas Internacionales de Aseguramiento, encontramos las Normas Internacionales de Auditoría cuyo propósito es dar lineamientos o fijar guías sobre los objetivos y fundamentos por los cuales se debe regir un auditor o grupoauditor al momento de hacer la revisión, o valga la redundancia la auditoría a los estados financieros.En total son 36 estándares, algunos de los más importantes son:

¿Qué se entiende por estándares internacionales de auditoría y aseguramiento?

1. NIA 200 –Objetivos globales del auditor independiente y realización de la auditoría de conformidad con las NIA.

2. NIA 210 –Acuerdo de términos del encargo de auditoría.3. NIA 220 –Control de calidad de la auditoría de estados

financieros.4. NIA 230 –Documentación de auditoría.5. NIA 240 –Responsabilidades del auditor en la auditoría de

estados financieros con respecto al fraude.6. NIA 250 –Consideración de las disposiciones legales y

reglamentarias de la auditoría de estados financieros.7. NIA 260 –Comunicación con los responsables del gobierno de

la entidad.8. NIA 265 –Comunicación de las diferencias en el control

interno a los responsables del gobierno y a la Dirección de la entidad.

9. NIA 300 –Planificación de la auditoría de estados financieros.

10. NIA 315 –Identificación y valoración de los riesgos de incorrección material mediante el

conocimiento de la entidad y de su entorno.11. NIA 320 –Importancia relativa o materialidad

en la planificación y ejecución de la auditoría.12. NIA 330 –Respuestas del auditor a los riesgos

valorados.13. NIA 402 –Consideraciones de auditorías

relativas a una entidad que utiliza una organización de servicios.

14. NIA 450 –Evaluación de las incorreciones identificadas durante la realización de la auditoría.

Principios Generales y Responsabilidad.

Evaluación de Riesgo y Respuesta a losRiesgos Evaluados.



15. NIA 500 –Evidencia en la auditoría.16. NIA 501 –Evidencia de auditoría –Consideraciones

específicas para determinadas áreas.17. NIA 505 –Confirmaciones externas.18. NIA 510 –Encargos iniciales de auditoría –Saldos de

apertura.19. NIA 520 –Procedimientos analíticos.20. NIA 530 –Muestreo de auditoría.21. NIA 540 –Auditoría de estimaciones contables incluidas las

de valor razonable, y de la información relacionada con revelar.

22. NIA 550 –Partes vinculadas.23. NIA 560 –Hechos posteriores al cierre.24. NIA 570 –Empresa en funcionamiento.25. NIA 580 –Manifestaciones escritas.

26. NIA 600 –Consideraciones de estados financieros de grupos (incluido el trabajo de los auditores de los componentes).

27. NIA 610 –Utilización del trabajo de los auditores internos.28. NIA 620 –Utilización del trabajo de un experto del auditor.

Evidencia de Auditoría

Uso del trabajo de otros


34. NIA 800 – Consideraciones Especiales –Auditorías de Estados Financieros Preparados de conformidad con un Marco de Información con fines específicos.

35. NIA 805 –Consideraciones especiales –Auditorías de un solo estado financieros o de un elemento, cuenta o partida específicos de un estado financiero.

36. NIA 810 –Encargos para informar sobre estados financieros resumidos.


29. NIA 700 –Formación de la opinión y emisión del informe de auditoría sobre los estados financieros.

30. NIA 705 –Opinión modificada en el informe emitido por un auditor independiente.

31. NIA 706 –Párrafos de énfasis y párrafos sobre otras cuestiones en el informe emitidos por un auditor independiente.

32. NIA 710 –Información comparativa –Cifras correspondientes de períodos anteriores y estados financieros comparativos.

33. NIA 720 –Responsabilidad del auditor con respecto a otra información incluida en los documentos que contienen los estados financieros auditados.

Conclusiones y dictamen deAuditoría.

Áreas especializadas


PROCESO DE AUDITORIA


SERVICIOS DE AUDITORIA DE TECNOLOGIA INFORMATICA

Asesoria en:

Diseño de controles

Medidas de seguridad

Normas y estandaresEvaluacion de:

Eficiencia y seguridad de operaciones

Planes de continuidad

Control Interno en aplicaciones

Integridad de Informacion

Cooperacion en:

Normas y estandares

Diseño de S.I

Ejecucion de Pruebas

Implementacion de Software de seguridad

Y Politicas de seguridad

FERNANDO RADA BARONA UNIVERISIDAD SANTIAGO DE CALI

Objetivos del Proyecto (OP)

1Unidades de Trabajo del Usuario (UTU)

2Servicios del Aplicativo (SA)

3

Lo mínimo necesario

4Modelo de Datos (MD)

Cliente

ProductoFactura

Items

5Estándares de Programación (EP)


EL ROL DE LA TECNOLOGÍA

Socios de Negocio

Principal

E-Mail

Web enablePedidos del Cliente

e

RuteoInteligent

e IVR-VRU

PBX-ACD CTIFax Server

Móvil

Agente DataWarehouse

Sistemas deInfromación

Sistemas deGestión


Requerimiento1

PROCESO DE COMPRASInternet

EDI

2

Validacion en el sistema

Correo Electronico

Socios de Negocio

3

4

Sistema inteligente5

Elabora O.C.

Despacha la mercancia6

InternetEDI

EDIInternet

EDI

Factura Electronica

7

Causacion.8

9

Ingreso inventarios

9

Remision electronica

Tesoreria9

Banco.10

Socio de Negocio11

EDI

Internet

EDI

EDI

Internet

EDI


BD empleados activos

BD estructura salarial BD asignación turnos operaciones

Planta de producción

Edificio Administrativo

Sistema liquidación nomina

Integrador

Integrador

InternetEDI

InternetEDI

Sistema información Contable

Sistema de Tesorería

Sistema Financiero – Banco

Sistema Financiero – Cajero Electrónico

Integrador

Integrador

Utilizando el Sistema Financiero

Pago Servicios Públicos - Compras

Registro empleados

AUDITORIA TECNOLOGIA INFORMATICAauditor2006.comunidadcoomeva.com/blog/uploads/1.2.Conceptos... ·...

Documents

Transcript of AUDITORIA TECNOLOGIA INFORMATICAauditor2006.comunidadcoomeva.com/blog/uploads/1.2.Conceptos... ·...