Procesos en La Auditoria de Sistemas

7/23/2019 Procesos en La Auditoria de Sistemas

http://slidepdf.com/reader/full/procesos-en-la-auditoria-de-sistemas 1/17

AUDITORIA DE SISTEMAS

23/05/2015 1



AUDITORIA DE SISTEMAS

La Auditoría de Sistemas esun mecanismo de control.

- Recoger, agrupar y evaluarevidencias.

Que permitan determinar si el área

de sistema salvaguarda la:

Control

Confidencialidad, integridad y disponibilidad de las TICs.Velando por la no transgresión de la normatividad vigente

23/05/2015 2



La auditoria de Sistemas busca el

aseguramiento de la calidad en la Gestión delas Tecnologías de Información y Comunicación.- Hardware

- Software- Redes- RR. HH.

Que coopere al logro de las metas y objetivosde la organización.

PROPOSITO

3



LOS AUDITORES

Los auditores deben conocer los enfoques y

las prácticas de TIC’s claves a fin de poder

evaluar la calidad de la gerencia e identificar

los problemas gerenciales existentes.

Los auditores deben evaluar las

organizaciones para conocer si tienen un

enfoque estructurado para planificar y

gerenciar los recursos de TIC’s.

23/05/2015 4



ENFOQUES DE LA AUDITORIA

Enfoque Gubernamental(Público)

Enfoque MejoramientoContinuo (Privado)

• Exámenes de Control Interno.• Determinación de responsabilidades• Sanciones• Aplicación de recomendaciones(Poco)• Cobit (Referencial)• PCM – ONGEI (Rector)• ISACA (REFERECIAL)• ENC – Contraloría de la República.

• Intervenciones Rápidas• Determinación de debilidades• Aseguramiento de la calidad• Aplicación de recomendaciones(mucho)• Cobit (Rector)• PCM – ONGEI (Lo necesario)• ISACA (POR LO GENERAL)Information Systems Audit And Control Association

23/05/2015 5



BASE LEGAL•Constitución Política del Estado.• Ley N° 27785 Ley Orgánica del Sistema Nacional de Control.•

Resolución de Contraloría Nº 162-95-CG Normas de Auditoria Gubernamental y su modificatoria Resoluciónde Contraloría N° 259-2000-CG Normas de Auditoria Gubernamental.•Decreto Legislativo No 728 Ley de Productividad y Competitividad Laboral, DS No 003-97-TR.•Resolución de Directorio Nº 020-2005-EPSASA/D que aprueba el Reglamento de Organización y funciones.•Resolución de Directorio Nº 022-2005-EPSASA/D que aprueba el manual de organización y funciones.•Resolución de Directorio Nº 013-99-EPS Ayacucho S.A, 025-2003-EPSASA/D que aprueba el ReglamentoInterno de Trabajo.•Decreto Supremo N° 013-2003-PCM, publicada el 13/02/2005 y su modificatoria D.S. N° 037-2005-PCM del11/05/2005. “Medidas para garantizar la legalidad de la adquisición de programas de software en entidades

y dependencias del Sector Público.•Decreto Supremo N° 024-2006-PCM “Reglamento de la ley N° 28612 – ley que norma el uso, adquisición yadecuación del software en la Administración Pública”.

•Resolución Ministerial N° 179-2004-PCM publicada el 14/06/2004. Aprueban uso obligatorio de la NormaTécnica Peruana NTP-ISO/IEC 12207/2004: Tecnología de la información. Procesos del ciclo de vida delsoftware. 1° Edición en entidades del Sistema Nacional de Informática”, y su modificatoria a la Resolución

Ministerial 396-2005-PCM publicada el 08/11/2005.•Resolución Jefatural N° 386-2002-INEI publicada el 16/01/2003 Aprueban directiva Normas Técnicas para elAlmacenamiento y Respaldo de la Información procesada por las Entidades de la Administración Pública.•Resolución Jefatural N° 053-2003-INEI publicada el 23/02/2003 Aprueban Directiva sobre Norma Técnicapara la implementación del Registro de Recursos Informáticos en las instituciones de la AdministraciónPública.• OTROS NO MENOS IMPORTANTES . (www.ongei.gob.pe)

23/05/2015 6

http://www.ongei.gob.pe/

http://www.ongei.gob.pe/



COBIT 4.1

Tiene como fin:Suministrar a la gerencia normasgeneralmente aceptadas basadasen buenas prácticas para el controlde la Información y la Tecnologíade Información.

Proveer a los usuarios de unabase sólida para administrar la TI yobtener garantías.

Brindar a los auditores de excelentes criterios para las tareas deevaluación y auditoría.

Respaldar los esfuerzos conjuntos de la gerencia, losresponsables de procesos de negocio y los auditores a fin depropiciar el mejor gobierno de TI.

23/05/2015 7



NORMAS INTERNACIONALES YNACIONALES DE SEGURIDAD

SP800-14+27

SAS 94

CMM - Capability

ISO 15408 - Common Criteria

COBIT 4.1

ISO 17799

1. Directiva para el uso, registro y consulta del Sistema Electrónico del Registro Nacional de Sanciones de Destitución yDespido – RNSDD (RM Nª 017-2007-PCM del 18.Ene.2007).

2. “Formulación y Evaluación del Plan Operativo Informático de las Entidades de la Administración Pública para el Año 2008

(RM Nª 430-200-PCM del 28.Dic.2007).3. Uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de

buenas prácticas para la gestión de la seguridad de la Información. 2da. Edición” en todas las entidades integrantes del

Sistema Nacional de Informática (RM Nª 246-2007-PCM del 22.Ago.2007).4. Disposiciones referidas a licenciamiento de software en entidades públicas (DS Nª 002-2007-PCM del 11.Ene.2007).5. Ley Nª 28612: Ley que norma el uso, adquisición y adecuación del software en la administración pública (18.Oct.2005).6. Uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 12207:2004 Tecnología de la Información. Procesos del Ciclo de

Vida de Software. 1ª Edición” en todas las entidades integrantes del Sistema Nacional de Informática (RM Nª 179-2004-PCM del 14.Jun.2004).7. Ley Nª 28530: Ley de Promoción de Acceso a Internet para personas con discapacidad y adecuación del espacio físico en

cabinas públicas de internet (02.Jun.2005).8. Disposiciones relativas a la administración del “Portal del Estado Peruano” (DS Nª 059-2004-PCM del 11.Ago.2004).9. Guía Técnica sobre Evaluación de Software para la Administración Pública (RM Nª 139-2004-PCM del 28.May.2004).10. Guía para la Administración Eficiente del Software Legal en la Administración Pública (RM Nª 073-2004-PCM del

17.Mar.2004).

Internacionales

Nacionales

23/05/2015 8



(Leyes de Murphy )

1. Si algo puede fallar, fallará

2. Si hay la posibilidad de que algunas cosas fallen, la que causara másdaño será la primera.

3. Si algo no puede fallar, lo hará a pesar de todo.4. Si se aprecia que existen cuatro posibles maneras de que algo puedafallar, y se soslayan, en seguida sedesarrollará una quinta para la que no se esta preparado.

5. Por si mismas, las cosas tienden a ir de mal en peor.6. Si algo parece que va bien, es obvio que se ha pasado algo por alto.

7. La Naturaleza siempre esta del lado del fallo oculto.

LEYES QUE GOBIERNAN LA INFORMÁTICA

23/05/2015 9



PROCESOS DE AUDITORIA

PLANEACION EJECUCION INFORME SEGUIMIENTO

23/05/2015 10



a) Conocimiento General de la Entidadb) Evaluación del Sistema de Control Interno de laGerencia de Sistemas de Información

c) Programa de Auditoría

Ejecución de la Auditoríaa. Evaluación de Organización en el Área de Sistemas.b. Evaluación de la Seguridad Física y Planes de Contingenciade la Oficina de Sistemas.c. Evaluación de Bases de Datos, Archivos y Datos.d. Evaluación de Operaciones (Centro de Procesamiento yÁrea de atención a usuarios).e. Evaluación de Desarrollo y Mantenimiento de Sistemas.f. Evaluación de Redes de Comunicaciones.

PLANEACION

23/05/2015 11

http://localhost/var/www/apps/conversion/tmp/1ra.%20Clase/611conocimientogeneral.htm

http://localhost/var/www/apps/conversion/tmp/1ra.%20Clase/611conocimientogeneral.htm



• Determinación de responsabilidades.

• Conclusiones.

• Recomendaciones.

•Sugerencias.

Informe de Auditoría

1) La responsabilidad puede surgir de distintas fuentes:

- CIVIL(por daños y perjuicios)

- PENAL

(por comisión de delitos)- ADMINISTRATIVA (por incumplimiento de normas administrativas)

23/05/2015 12



PASOS DE UNA AUDITORÍA

CUALIDADES

ATRIBUTOS

Normas.

Buenas PracticasEstándares

CUANTIFICACION

MEDICIÓN CONTRASTACIÓN

Determinación dediscrepancia

Determinación eimplementación de

estrategias para que:X 0

1 2 3 1 2 3

1

2

3

1

2

3

4

CSF (Critical Success Factors - Factores Críticos de Éxito).KPI (Key Performance Indicators – Indicadores Clave de Desempeño).KGI (Key Goal Indicators – Indicadores Clave de Logro).

23/05/2015 13



ADMINISTRACION DE RIESGOS

Una metodología válida para la administración de los riesgosresponde a los siguientes conceptos:

ADMINISTRACIÓN DE RIESGOS

MODELAMIENTO DE LOS RIESGOS: INSTITUCIONAL UNIDAD (es) DE NEGOCIO (s)

DEFINICIÓN DEL NIVEL DEEXPOSICIÓN AL RIESGO

ANÁLISIS DE LOS RIESGOS PORUNIDAD DE NEGOCIO

EVALUACIÓN DE LOSPROCEDIMIENTOS DE

CONTROL IMPERANTES.

PROPOSICIÓN DE MEJORESPRÁCTICAS DE CONTROL Y

SU ADMINISTRACIÓN

ANÁLISIS DE LOS RIESGOS A NIVELDE LA ORGANIZACIÓN.

MONITOREO DE LASMEJORES PRÁCTICAS YRETROALIMENTACIÓN

COMPRENDEROBJETIVOS

INSTITUCIONALES

23/05/2015 14



RIESGO

Cualquier acontecimiento que podría evitar que unaorganización cumpla sus objetivos institucionales previstos.

TIPOS DE RIESGOESTRATÉGICO.

TECNOLÓGICO.GENTE Y ORGANIZACIÓN.PROCESOS.

ECUACIÓN UNIVERSAL DEL RIESGO

23/05/2015 15



PROCESO DE LA AUDITORIA

USED A T: A UTHOR: DA TE:

REV:PROJECT: GESTION DE LA AUDITORIA

GUBERNAMENTAL

Friday 13 d e July de 2001

Wednesday 18 d e July de 20 01

NOTES: 1 2 3 4 5 6 7 8 9 10

WORKING

DRAFT

RECOMMENDED

PUBLICATION

READER DATE CONTEXT:

A-0

NODE: TITLE: NUMBER:GESTION DE LA AUDITORIA GUBERNAMENTAL A0

1

PLANIFICAR AUDIT ORIAS

2

EJECUTAR AUDIT ORIAS

3

REALIZAR

SEGUIMIENTODE MEDIDASCORRECTIVAS

4

EVALUAR LAEJECUCION DEL

PLAN DE AUDIT ORIAS

Informes de Auditoría Anteriores

Pedidos Especial esy Denuncias

Documento deEvaluación del Plan

Planes y Normativa Legal Aplic able a la Entidad Auditada

Organo Auditor

Información del Entorno

Plan de Auditoríadel Organo Auditor

Normativa General deControl

Informe de Auditoría

Avance de Auditorías

Informe de Seguimiento

de Med idas Correcti vas

Encargo de Ejecuciónde Auditoría

Disposiciones para implantac iónde recomendaciones

23/05/2015 16



PARTES DE UN HALLAZGO

• SUMILLA

• CONDICIÓN

• CRITERIO

• CAUSA

• EFECTO

• SUMILLA: No se estableció una metodología de

ciclo de vida para la elaboración del Sistema deInformación.

• CONDICIÓN: El Sistema de Información noespecifica ni se acoge a una metodología olineamiento base de la Ingeniería de Software, o

métrica alguna.• CRITERIO: Norma Técnica Peruana NTP-

ISO/12207:2004

Tecnología de la Información - Procesos de Ciclo deVida del Software “Métrica 3”

• CAUSA: Desconocimiento de la existencia de la

normatividad vigente por parte del Jefe de Proyecto.

• EFECTO: Incumple con la NTP-ISO/12207:2004.

23/05/2015 17

Procesos en La Auditoria de Sistemas

Documents

Transcript of Procesos en La Auditoria de Sistemas