Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. UNIDAD I - INTRODUCCIÓN Y CONCEPTOS BÁSICOS DE AUDITORÍA Y AUDITORÍA INFORMÁTICA �Antecedentes y Concepto �Origen y desarrollo de la A.I. �Áreas de revisión de la A.I. �Objetivos de la A.I. �Tipos de A.I. �Principales pruebas y herramientas de A.I. �Perfil y capacidades del Auditor Informat. �Motivos de realización de la A.I. U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. Es el campo que se encarga del estudio y aplicación práctica de la tecnología, métodos, técnicas y herramientas relacionados con las computadoras y el manejo de la información por medios electrónicos, el cual comprende las áreas de la tecnología de información orientadas al buen uso y aprovechamiento de los recursos computacionales para asegurar que la información de las organizaciones fluyan de manera oportuna y veraz. Informática: Concepto U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. Porque existe la necesidad de realizar una auditoria informática? U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. Antecedentes �El incremento constante de las expectativas y necesidades relacionadas con la informática, al igual que la actualización continua de los elementos que componen la tecnología de este campo, obligan a las entidades que la aplican, a disponer de controles, políticas y procedimientos que aseguren a la alta dirección la correcta utilización de los recursos humanos, materiales, y financieros involucrados, para que se protejan adecuadamente y se orienten a la rentabilidad y competitividad del negocio. Introducción U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. Antecedentes �La tecnología informática (hardware, software, redes, bases de datos, etc.) es una herramienta estratégica que brinda rentabilidad y ventajas competitivas a los negocios frente a otros negocios similares en el mercado, pero puede originar costos y desventajas si no es bien administrada por el personal encargado �La solución clara es entonces realizar evaluaciones oportunas y completas de la función informática, a cargo de personal calificado, consultores externos, auditores en informática o evaluaciones periódicas realizadas por el mismo personal de informática U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. Antecedentes �Entonces la auditor ía en inform ática se encarga de evaluar y verificar políticas, controles, procedimientos y seguridad en los recursos dedicados al manejo de la información, mediante la aplicación de una metodología que debe de ejecutarse con formalidad y oportunidad. �El rol del auditor en informática es el de funcionar como un punto de control y confianza para la alta dirección o los dueños de la empresa, además debe ser el facilitador de soluciones. Una de las tareas principales del auditor es la de conducir siempre a la empresa a optimizar el uso de los recursos informáticos Introducción U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. Antecedentes � Por otro lado es incorrecto pensar que la auditoría informática producirá un cambio instantáneo en la cultura organizacional, en los métodos de trabajo, o en la mala calidad o improductividad, se debe pensar que la auditoría en informática es un elemento estratégico directo que apoya o promueve la eliminación o corrección de cada una de las debilidades antes mencionadas. � Se espera que un auditor en informática sea un profesional, un experto, y su principal objetivo es darle a cada problema la dimensión justa y convertirlo en una solución para la empresa. Introducción U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. Auditoría – Concepto �Es el examen profesional, objetivo e independiente, de las operaciones financiera y/o administrativas, que se realiza con posterioridad a su ejecución, en las entidades públicas o privadas, y cuyo producto final es un informe, conteniendo opinión sobre la información financiera y/o administrativa auditada, así como conclusiones y recomendaciones tendientes a promover la economía, eficiencia y eficacia de la gestión empresarial o gerencial. U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. Este examen comprende: � Determinar el grado de cumplimiento de objetivos y metas de los planes administrativos y financieros. � Forma de adquisición, protección y empleo de los recursos materiales y humanos. � Racionalidad, economía, eficiencia y eficacia en el cumplimiento de los planes financieros y administrativos. U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. Características de la auditoría 1- ES OBJETIVA: Significa que el examen es imparcial, sin presiones ni halagos, con una actitud mental independiente, sin influencias personales ni políticas. En todo momento debe prevalecer el criterio del auditor, que estará sustentado por su capacidad profesional y conocimiento pleno de los hechos que refleja en su informe. U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. Características de la auditoría 2- ES SISTEMATICA Y PROFESIONAL: La auditoría debe ser cuidadosamente planeada y llevada a cabo por profesionales conocedores del ramo que cuentan con la capacidad técnica y profesional requerida, los cuales se atienen a las normas de auditoría establecidas, a los principios de Contabilidad generalmente aceptados y al código de Ética Profesional. El desarrollo de la auditoría se lleva a cabo cumpliendo en forma estricta los pasos que contienen las fases del proceso de la auditoría: Planeación, Ejecución e Informe. U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. Características de la auditoría 3- INFORME FINAL: Finaliza con la elaboración de un informe escrito (dictamen) que contiene los resultados del examen practicado, el cual debe conocer de previo la persona auditada, para que tenga a bien hacer las correspondientes observaciones del mismo; además el informe contiene las conclusiones y debilidades tendientes a la mejora de las debilidades encontradas. U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. Origen y desarrollo de la A.I. •El acceso a la información no solo está restringida por controles físicos, también por controles lógicos. •El acceso a la información física se encontraba restringida por controles físicos. •La información es almacenada en medios computacionales. •Los documentos son almacenados y recuperados en medios físicos. •La facturación está controlada por sistemas informáticos (programas). •Sistemas manuales de facturación. AHORAANTES U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. AUDITORÍA INFORMÁTICA - DEFINICIÓN Es el proceso de recolectar y evaluar “evidencias” para determinar si los Sistemas Informáticos y recursos relacionados salvaguardan adecuadamente los activos, mantienen la integridad de los datos y del sistema, proveen información confiable y oportuna, logran efectivamente las metas de la organización, consumen los recursos de manera eficiente y tienen en vigor los controles interno que proveen una garantía razonable de que se alcanzarán los objetivos del negocio, operativos y de control. U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. Auditoría Informática – Concepto �Es una revisión de carácter objetivo (independiente), crítico (evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados, con el fin de emitir una opinión profesional (imparcial) con respecto a la: ִ Eficiencia y eficacia en la utilización de los recursos informáticos ִ Seguridad de los recursos informáticos ִ Efectividad de los controles establecidos. U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. Auditoria en informática: Es un proceso formal ejecutado por especialistas del área de auditoria y de informáticacuyo objetivo es el de verificar y asegurar que las políticas y procedimientos establecidos para el manejo y uso adecuado de la tecnología de informática en la organización se realicen de manera eficiente y eficaz. Evaluando el grado de cumplimiento de políticas, controles y procedimientos correspondientes al uso de los recursos de informática por el personal de la empresa. Dicha evaluación deberá ser la pauta para la entrega del informe de auditoria en informática, el cual debe contener las observaciones, recomendaciones y áreas de oportunidad para el mejoramiento y optimización permanente de la tecnología de informática en el negocio. U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. AUDITORÍA INFORMÁTICA La auditoría informática sirve para mejorar características importantes en la empresa como: � Seguridad � Integridad � Eficiencia � Eficacia � Rentabilidad U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. Los objetivos de la Auditoría Informática son: � Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. � La verificación de la implantación y cumplimiento de normativas establecidas y recomendar las necesarias en este ámbito. � Verificar la seguridad, privacidad y disponibilidad de los recursos en el ambiente informático. � Auditoria de los propios sistemas Informáticos. U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. OBJETIVOS DE LA A.I. (Cont..) � Prestar colaboración a la Auditoria de cuentas � Prevención de fraude y obtención de la prueba � La revisión de la eficaz gestión de los recursos informáticos. � El control de la función informática U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. Áreas de revisión de la Auditoría Informática: Generalmente la A.I. se puede desarrollar en alguna o combinación de las siguientes áreas: � Gobierno corporativo de TI � Protección y Seguridad del ambiente TI � Administración del Ciclo de vida de los sistemas � Servicios y Soportes � Planes de contingencias y recuperación ante desastres U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. Tipos de Auditoría informática Dentro de la auditoría informática destacan los siguientes tipos (entre otros): � Auditoría de la gestión de TI: Referido al gobierno de TI, plan corporativo, a la contratación de bienes y servicios, gerenciamiento de proyectos de TI, etc. � Auditoría de las bases de datos : Controles de acceso, de actualización, de integridad y calidad de los datos, errores, fraudes. � Auditoría de la seguridad : Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio. U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. Tipos de Auditoría informática � Auditoría de la seguridad física : Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno. � Auditoría de la seguridad lógica : Comprende los métodos de autenticación de los sistemas de información, asignación de programas, clasificación de la información, etc � Auditoría de Redes y las comunicaciones : comprende administración, configuración, transmisión de datos, encriptación, etc. U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. Principales pruebas para efectuar una auditoría informática Tipos de pruebas: en la realización de la auditoría informática el auditor puede realizar las siguientes pruebas: � Prueba Clásica � Pruebas de Cumplimiento o control. � Pruebas Sustantivas U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. Pruebas a realizar la auditoría • Pruebas clásicas: • Consiste en probar las aplicaciones / sistemas con datos de prueba, observando la entrada, la salida esperada, y la salida obtenida. Existen paquetes que permiten la realización de estas pruebas. U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. Pruebas a realizar la auditoría Pruebas de cumplimiento : Determina si un sistema de control interno funciona adecuadamente (según la documentación, según declaran los auditados y según las políticas y procedimientos de la organización). Tienen como objetivo conocer el nivel de seguridad que los controles brindan y el nivel de aplicación de dichos controles. Implican: - Análisis de la documentación, los procedimientos y los programas. - Estudio de causas de riesgos y controles existentes. - Estudio de controles débiles y ausentes. U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. Pruebas a realizar la auditoría Pruebas Sustantivas : Revisión exhaustivas del objeto de auditoría. Aportan al A.I. suficientes evidencias para que se pueda formar un juicio. Se suelen obtener mediante cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información. • Se realizan cuando se detectan controles débiles o ausentes, fraudes, errores significativos, debilidades de control interno. • Buscan determinar pruebas de situaciones inadecuadas o incorrectas. U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. Las principales herramientas de las que dispone un auditor informático son: � Observación � Realización de cuestionarios � Entrevistas a auditados y no auditados � Muestreo estadístico � Flujogramas � Listas de checkeos � Mapas conceptuales � Verificación específica U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. Perfil del auditor informático A un auditor informático se le presupone cierta formación informática y experiencia en el sector, independencia y objetividad, madurez, capacidad de síntesis y análisis y seguridad en sí mismo. En nuestro país existe un vacío legal por la ausencia de normativas que defina claramente: � Quien puede realizar auditoría informática. � Como se debe realizar una auditoría informática. � En que casos es necesaria una auditoría informática. U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. � La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, COSO e ITIL. � Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una de las más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación. U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. Habilidades del Auditor Informático. • Capacitación continua, especialización, certificación • Comprender los ciclos de negocios y conocer sobre auditoría contable/financiera. • Experiencias en desarrollos de proyectos • Tener conocimientos de técnicas y lenguajes de programación. • Estar familiarizado con los sistemas operativos y redes de comunicación • Tener conocimientos de los tipos y estructuras de base de datos. • Saber cuando pedir apoyo de un especialista. U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. MOTIVOS DE REALIZACIÓN DE UNA A.I. � Desconocimiento en el nivel directivo de la situación informática de la empresa � Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e Información. � Descubrimiento de fraudes efectuados con la PC � Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodologías, inadecuada utilización y administración del recurso humano del área informática U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. MOTIVOS.. CONTINUACION � Falta de unaplanificación informática � Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados � Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción � Aumento considerable e injustificado del presupuesto del TI (Tecnología Informática) U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F. � MUCHAS GRACIAS
Compartir